Smishing на маршрутизаторах Milesight: анализ CVE-2023-43261

Smishing на маршрутизаторах Milesight: анализ CVE-2023-43261

Источник: blog.sekoia.io

Группа по обнаружению угроз и расследованиям Sekoia.io выявила целенаправленную киберугрозу, эксплуатирующую уязвимости в промышленных сотовых маршрутизаторах Milesight. В отчёте описана методика атак, технические детали злоупотреблений и география кампаний — от массово доступных в Интернет уязвимых устройств до многоцелевого использования фишинговых доменов в smishing-атаках.

Краткое содержание обнаруженного

  • Злоумышленники отправляют POST‑запросы к конечной точке /cgi, используя данные в формате JSON, связанные с функциями SMS.
  • Для выполнения запросов применяется cookie аутентификации, что указывает на наличие у злоумышленников действительных учётных данных или их компрометацию.
  • Ключевая уязвимость — CVE-2023-43261 — затрагивает несколько моделей Milesight (включая UR5X и UR32) и позволяет получить доступ к конфиденциальным файлам журналов по HTTP без проверки подлинности.
  • Анализ показывает, что злоумышленники проверяют способность маршрутизатора отправлять SMS, отправляя сообщения на контролируемые ими номера для подтверждения работоспособности устройства.

Технические детали атак

Атаки базируются на следующем наборе признаков:

  • Целевые POST‑запросы к /cgi с payload в виде JSON, ориентированным на SMS‑функции устройства.
  • Использование cookie аутентификации для обхода интерактивного входа, что предполагает компрометацию учётных данных или сессионных маркеров.
  • Эксплуатация уязвимости CVE-2023-43261, позволяющей скачивать журналы и другие чувствительные файлы через HTTP без аутентификации.

Масштаб и география

Sekoia.io зафиксировала значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету. Наибольшие концентрации обнаружены в Австралии и Франции.

История и цели кампаний smishing

Использование этих уязвимостей в smishing-кампаниях восходит к началу 2022 года. В ходе расследования выявлены региональные особенности:

  • Бельгия выступала основной мишенью кампаний, где мошенники часто выдают себя за официальные службы.
  • Во Франции наблюдается широкий спектр имитируемых сервисов и разнообразие тем сообщений.

Для фишинга применялись различные домены, в частности те, что имитируют сервисы eBox и CSAM. В URL‑адресах фишинговых страниц исследователи обнаружили JavaScript‑файл, проверяющий, получают ли пользователи доступ с мобильных устройств — скорее всего, с целью повышения вовлечённости и успешности смс‑фишинга.

Известные домены и признаки связи с кампаниями

  • Домен jnsi.xyz связывают с несколькими smishing‑кампаниями, ориентированными на проблемы с платежами в разных регионах.
  • Домен был зарегистрирован незадолго до начала кампаний и привязан к относительно новой российской автономной системе (AS).
  • Проверки через URLScan.io показали классификации как вредоносные, что подтверждает использование домена в мошеннической деятельности.

Тактика и последствия

Smishing остаётся мощным инструментом цифрового мошенничества. Методология атак опирается на проверенные методы социальной инженерии: злоумышленники эксплуатируют доверие пользователей и используют тематические сообщения об оплате, проблемах с учётной записью или якобы официальных уведомлениях.

Несмотря на относительную простоту исполнения, smishing остаётся эффективным из‑за доступности наборов инструментов и сервисов для фишинга, что позволяет даже малоопытным злоумышленникам запускать кампании с высоким потенциалом финансового урона.

Выводы

Расследование Sekoia.io подчёркивает сочетание уязвимых промышленно ориентированных устройств (промышленных маршрутизаторов Milesight) и эволюции smishing‑тактик. Эксплуатация уязвимости CVE-2023-43261 в сочетании с компрометацией аутентификационных cookie позволяет злоумышленникам не только управлять SMS‑функциями устройств, но и использовать их как платформу для масштабного рассылания мошеннических сообщений. Наличие тысяч устройств с публичным доступом увеличивает риск дальнейшего роста подобных кампаний и их географического расширения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: