未打补丁的AT&T网络设备遭大规模入侵，形成新型僵尸网络

最近的安全研究发现，一个新发现的僵尸网络能够通过AT&T网络设备发起DDoS分布式拒绝服务攻击，通过利用一个4年前的安全漏洞对未打补丁的EdgeMarc设备进行控制。

360首次于 2021 年 10 月 27 日检测到该僵尸网络，将其命名为EwDoor，并表示在短短的三个小时内监测到位于美国的 5700 个受到该僵尸网络控制的 IP 地址。

安全研究人员称，到目前为止，我们认为的EwDoor已经经历了三个版本的更新，其主要功能可以概括为DDoS攻击和后门两大类，基于受攻击设备与电话通信相关，我们推测其主要目的是 DDoS 攻击，以及收集通话记录等敏感信息。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，通过 EdgeMarc 设备中的漏洞传播，EwDoor 支持多种功能，包括自我更新、下载文件、在受感染机器上获取反向 shell 以及执行任意有效负载的能力。该漏洞是CVE-2017-6079（CVSS 评分：9.8），这是一个影响会话边界控制器的命令注入缺陷，可被武器化以执行恶意命令。

EwDoor 除了收集有关受感染系统的信息外，还与远程命令和控制 (C2) 服务器建立通信，直接或间接使用 BitTorrent Trackers 获取 C2 服务器 IP 地址，以等待攻击者发出的进一步命令。