Smishing на маршрутизаторах Milesight: анализ CVE-2023-43261

Источник: blog.sekoia.io
Группа по обнаружению угроз и расследованиям Sekoia.io выявила целенаправленную киберугрозу, эксплуатирующую уязвимости в промышленных сотовых маршрутизаторах Milesight. В отчёте описана методика атак, технические детали злоупотреблений и география кампаний — от массово доступных в Интернет уязвимых устройств до многоцелевого использования фишинговых доменов в smishing-атаках.
Краткое содержание обнаруженного
- Злоумышленники отправляют POST‑запросы к конечной точке
/cgi, используя данные в форматеJSON, связанные с функциямиSMS. - Для выполнения запросов применяется cookie аутентификации, что указывает на наличие у злоумышленников действительных учётных данных или их компрометацию.
- Ключевая уязвимость — CVE-2023-43261 — затрагивает несколько моделей Milesight (включая
UR5XиUR32) и позволяет получить доступ к конфиденциальным файлам журналов поHTTPбез проверки подлинности. - Анализ показывает, что злоумышленники проверяют способность маршрутизатора отправлять SMS, отправляя сообщения на контролируемые ими номера для подтверждения работоспособности устройства.
Технические детали атак
Атаки базируются на следующем наборе признаков:
- Целевые POST‑запросы к
/cgiс payload в видеJSON, ориентированным на SMS‑функции устройства. - Использование cookie аутентификации для обхода интерактивного входа, что предполагает компрометацию учётных данных или сессионных маркеров.
- Эксплуатация уязвимости
CVE-2023-43261, позволяющей скачивать журналы и другие чувствительные файлы черезHTTPбез аутентификации.
Масштаб и география
Sekoia.io зафиксировала значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету. Наибольшие концентрации обнаружены в Австралии и Франции.
История и цели кампаний smishing
Использование этих уязвимостей в smishing-кампаниях восходит к началу 2022 года. В ходе расследования выявлены региональные особенности:
- Бельгия выступала основной мишенью кампаний, где мошенники часто выдают себя за официальные службы.
- Во Франции наблюдается широкий спектр имитируемых сервисов и разнообразие тем сообщений.
Для фишинга применялись различные домены, в частности те, что имитируют сервисы eBox и CSAM. В URL‑адресах фишинговых страниц исследователи обнаружили JavaScript‑файл, проверяющий, получают ли пользователи доступ с мобильных устройств — скорее всего, с целью повышения вовлечённости и успешности смс‑фишинга.
Известные домены и признаки связи с кампаниями
- Домен
jnsi.xyzсвязывают с несколькими smishing‑кампаниями, ориентированными на проблемы с платежами в разных регионах. - Домен был зарегистрирован незадолго до начала кампаний и привязан к относительно новой российской автономной системе (AS).
- Проверки через
URLScan.ioпоказали классификации как вредоносные, что подтверждает использование домена в мошеннической деятельности.
Тактика и последствия
Smishing остаётся мощным инструментом цифрового мошенничества. Методология атак опирается на проверенные методы социальной инженерии: злоумышленники эксплуатируют доверие пользователей и используют тематические сообщения об оплате, проблемах с учётной записью или якобы официальных уведомлениях.
Несмотря на относительную простоту исполнения, smishing остаётся эффективным из‑за доступности наборов инструментов и сервисов для фишинга, что позволяет даже малоопытным злоумышленникам запускать кампании с высоким потенциалом финансового урона.
Выводы
Расследование Sekoia.io подчёркивает сочетание уязвимых промышленно ориентированных устройств (промышленных маршрутизаторов Milesight) и эволюции smishing‑тактик. Эксплуатация уязвимости CVE-2023-43261 в сочетании с компрометацией аутентификационных cookie позволяет злоумышленникам не только управлять SMS‑функциями устройств, но и использовать их как платформу для масштабного рассылания мошеннических сообщений. Наличие тысяч устройств с публичным доступом увеличивает риск дальнейшего роста подобных кампаний и их географического расширения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



