SecAtor
@true_secator
Исследователи Sekoia раскрыли масштабную смишинг-кампанию, в которой задействуются промышленные сотовые маршрутизаторы Milesight.
Таинственный злоумышленник использует Milesight Industrial Cellular Routers для рассылки SMS-спама пользователям в нескольких европейских странах как минимум с февраля 2022 года, оставаясь все это время незамеченным.
Злоумышленники злоупотребляют функцией настройки получения SMS-оповещений, которая достаточно часто встречается в промышленных маршрутизаторах, которые обеспечивают подключение удалённого оборудования к более крупной сети через сотовый модем.
Sekoia полагает, что злоумышленники используют уязвимость 2023 года, обнаруженную Бипином Джитией из Cuberk Solutions.
Проблема отслеживается как CVE-2023-43261 (оценка CVSS: 7,5) и может привести к раскрытию системных журналов маршрутизаторов Milesight.
Злоумышленники могут их просматривать, находить и взламывать зашифрованные пароли администратора, которые затем можно использовать для подключения к устройствам и злоупотребления API маршрутизатора SMS для отправки фишинговых сообщений на заданный номер телефона.
Распространяемые фишинговые URL-адреса включают JavaScript, который проверяет, осуществляется ли доступ к странице с мобильного устройства, прежде чем предоставить вредоносный контент.
Более того, один из доменов, использовавшихся в кампаниях с января по апрель 2025 года - jnsi[.]xyz – содержит код JavaScript, блокирующий действия правой кнопки мыши и инструменты отладки браузера, чтобы затруднить анализ.
На некоторых страницах также были обнаружены подключения посетителей к Telegram-боту GroozaBot, управление которым осуществляет некто под именем Gro_oza, владеющий, по-видимому, арабским и французским языками.
При этом в наблюдаемой активности не замечено каких-либо попыток установки бэкдоров или эксплуатации других уязвимостей, что говорит о целенаправленном подходе, непосредственно связанном с мошенническими операциями злоумышленников.
Большая часть спама была отправлена в три страны - Швецию, Италию и Бельгию. Большинство SMS-сообщений содержали фишинговые ссылки на правительственные порталы, финансовые, почтовые и электронные сервисы.
По данным Sekoia, проведенное сканирование позволило выявить более 19 000 маршрутизаторов Milesight с API для отправки SMS.
Как минимум у 572 из них этот API доступен в интернете вообще без аутентификации, то есть злоумышленникам даже не нужно эксплуатировать уязвимость 2023 года для получения доступа.
Турция, Испания и Австралия входят в число стран с наибольшей концентрацией уязвимых устройств. При агрегировании данных почти половина выявленных уязвимых маршрутизаторов находится в Европе.
Sekoia также отметила, что API может быть общедоступным из-за ошибок в настройках, учитывая, что было обнаружено несколько маршрутизаторов с более новыми версиями прошивки, невосприимчивыми к уязвимости CVE-2023-43261.
По мнению исследователей, упомянутые устройства особенно привлекательны для злоумышленников, поскольку позволяют децентрализованно рассылать SMS по нескольким странам, что затрудняет как обнаружение, так и блокировку.
Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства либо уже используются в текущих кампаниях по смишингу или будут задействоваться в будущем.
Технические подробности и IOCs - в отчете.
Таинственный злоумышленник использует Milesight Industrial Cellular Routers для рассылки SMS-спама пользователям в нескольких европейских странах как минимум с февраля 2022 года, оставаясь все это время незамеченным.
Злоумышленники злоупотребляют функцией настройки получения SMS-оповещений, которая достаточно часто встречается в промышленных маршрутизаторах, которые обеспечивают подключение удалённого оборудования к более крупной сети через сотовый модем.
Sekoia полагает, что злоумышленники используют уязвимость 2023 года, обнаруженную Бипином Джитией из Cuberk Solutions.
Проблема отслеживается как CVE-2023-43261 (оценка CVSS: 7,5) и может привести к раскрытию системных журналов маршрутизаторов Milesight.
Злоумышленники могут их просматривать, находить и взламывать зашифрованные пароли администратора, которые затем можно использовать для подключения к устройствам и злоупотребления API маршрутизатора SMS для отправки фишинговых сообщений на заданный номер телефона.
Распространяемые фишинговые URL-адреса включают JavaScript, который проверяет, осуществляется ли доступ к странице с мобильного устройства, прежде чем предоставить вредоносный контент.
Более того, один из доменов, использовавшихся в кампаниях с января по апрель 2025 года - jnsi[.]xyz – содержит код JavaScript, блокирующий действия правой кнопки мыши и инструменты отладки браузера, чтобы затруднить анализ.
На некоторых страницах также были обнаружены подключения посетителей к Telegram-боту GroozaBot, управление которым осуществляет некто под именем Gro_oza, владеющий, по-видимому, арабским и французским языками.
При этом в наблюдаемой активности не замечено каких-либо попыток установки бэкдоров или эксплуатации других уязвимостей, что говорит о целенаправленном подходе, непосредственно связанном с мошенническими операциями злоумышленников.
Большая часть спама была отправлена в три страны - Швецию, Италию и Бельгию. Большинство SMS-сообщений содержали фишинговые ссылки на правительственные порталы, финансовые, почтовые и электронные сервисы.
По данным Sekoia, проведенное сканирование позволило выявить более 19 000 маршрутизаторов Milesight с API для отправки SMS.
Как минимум у 572 из них этот API доступен в интернете вообще без аутентификации, то есть злоумышленникам даже не нужно эксплуатировать уязвимость 2023 года для получения доступа.
Турция, Испания и Австралия входят в число стран с наибольшей концентрацией уязвимых устройств. При агрегировании данных почти половина выявленных уязвимых маршрутизаторов находится в Европе.
Sekoia также отметила, что API может быть общедоступным из-за ошибок в настройках, учитывая, что было обнаружено несколько маршрутизаторов с более новыми версиями прошивки, невосприимчивыми к уязвимости CVE-2023-43261.
По мнению исследователей, упомянутые устройства особенно привлекательны для злоумышленников, поскольку позволяют децентрализованно рассылать SMS по нескольким странам, что затрудняет как обнаружение, так и блокировку.
Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства либо уже используются в текущих кампаниях по смишингу или будут задействоваться в будущем.
Технические подробности и IOCs - в отчете.
Sekoia.io Blog
Silent Smishing : The Hidden Abuse of Cellular Router APIs
How attackers abuse Milesight cellular router APIs to run smishing at scale via unauthenticated SMS endpoints—targeting Belgium (CSAM/eBox).
32 10.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram