Уязвимости в промышленных роутерах Milesight эксплуатируются для массовых фишинговых атак через SMS в Европе

22 июля 2025 года через эти ловушки были зафиксированы подозрительные сетевые следы. Анализ показал, что злоумышленники эксплуатируют API сотового роутера для рассылки вредоносных SMS-сообщений, содержащих фишинговые ссылки. Эта атака, использующая SMS в качестве канала доставки фишинга, часто классифицируется как smishing.

Изученные сообщения убедительно свидетельствуют о целенаправленном таргетинге Бельгии. Фишинговые URL-адреса последовательно подделывают легитимные сервисы, такие как CSAM и Ebox, и содержат телефонный код Бельгии. С помощью поисковой системы Shodan было идентифицировано более 18 000 роутеров данного типа, доступных из публичного интернета, причем по меньшей мере 572 из них потенциально уязвимы. Кроме того, API позволяет получать как входящие, так и исходящие SMS, что указывает на активную эксплуатацию уязвимости для распространения вредоносных SMS-кампаний как минимум с февраля 2022 года.

Дальнейшее изучение отправленных сообщений подтверждает целенаправленный фокус на бельгийских получателей, хотя также были зафиксированы инциденты, нацеленные на Францию. Анализ фишинговых URL-адресов позволил выявить и отследить инфраструктуру злоумышленников, которая, судя по всему, в основном нацелена на пользователей из Бельгии.

Атака, по всей видимости, целенаправленно нацелена на промышленные сотовые роутеры Milesight. Логи, собранные с внутренних honeypot-ловушек, указывают на наличие POST-запросов к конечной точке /cgi. Данные в этих запросах форматированы в JSON, а несколько параметров, особенно внутри списка значений, явно связаны с отправкой SMS-сообщений. Более широкий обзор логов выявил множественные случаи такого шаблона. Первые следы были зафиксированы в конце июня 2025 года, что совпадает с датой развертывания honeypot-ловушек для роутеров Milesight. Примечательно, что все идентифицированные запросы исходили с IP-адреса 212.162.155[.]38, связанного с автономной системой (AS) Podaon SIA.

Анализ SMS-сообщений, отправленных этим методом, показывает сильную концентрацию на бельгийских получателях. Текст сообщений составлен на нидерландском или французском языках, двух официальных языках Бельгии. Номера телефонов включают код страны +32, соответствующий Бельгии. Фишинговые URL-адреса используют типсквоттинг известных бельгийских государственных платформ, а именно CSAM и eBox. Анализ всех логов honeypot-ловушек, связанных с этим IP-адресом, не выявил дополнительной вредоносной активности. Злоумышленник, по всей видимости, фокусируется исключительно на этом конкретном типе оборудования, используя его исключительно для отправки вредоносных SMS. Нет никаких свидетельств попыток установки бэкдоров или эксплуатации других уязвимостей на устройстве, что говорит о целевом подходе, согласованном specifically с операциями злоумышленника по smishing.

Логи honeypot-ловушек показывают, что злоумышленник использует cookie-файл аутентификации, что позволяет предположить наличие у него действительных учетных данных. В публикации на Medium от октября 2023 года, написанной специалистом по тестированию на проникновение Биптином Джитией, описывалась уязвимость CVE-2023-43261, затрагивающая несколько промышленных сотовых роутеров Milesight (UR5X, UR32L, UR32, UR35 и UR41). Эти устройства предоставляли доступ к конфиденциальным файлам логов через HTTP без требования аутентификации. Логи содержали зашифрованные учетные данные администратора, которые можно было расшифровать с использованием жестко заданных AES-ключей и векторов инициализации, обнаруженных в клиентском JavaScript, что фактически позволяло получить несанкционированный удаленный доступ.

Пароль, содержащийся в cookie-файле аутентификации, наблюдаемом на нашей honeypot-ловушке, не удалось расшифровать с использованием ключа и вектора инициализации, описанных в статье. Хотя это позволяет предположить, что злоумышленник мог использовать иной метод для получения валидных учетных данных, логи honeypot-ловушки не показывают доступа к файлам логов. В ходе тестирования было обнаружено, что некоторые роутеры предоставляют доступ к функциям, связанным с SMS, без требования какой-либо формы аутентификации. Доступ к списку отправленных SMS-сообщений осуществляется через POST-запрос к конечной точке /cgi. При отсутствии требования аутентификации роутер возвращает JSON-объект, содержащий временную метку отправки SMS, содержимое сообщения, номер телефона получателя в международном формате и поле статуса, которое, по-видимому, указывает на успешность отправки сообщения.

Анализ собранных данных выявил значительное количество SMS-сообщений со статусом "failed". Такие сообщения часто многократно ассоциируются с одним и тем же номером получателя в разные, иногда значительно отстоящие друг от друга, моменты времени. Sekoia.io полагает, что злоумышленник может сначала пытаться проверить, способен ли данный роутер отправлять SMS-сообщения, нацеливаясь на контролируемый им номер телефона. Это поведение предполагает этап валидации, вероятно, направленный на подтверждение фактической способности устройства доставлять сообщения. В случаях, когда доставка не удается, это может быть связано с различными факторами, такими как ограничения SIM-карты, некорректные настройки роутера или недостаточный лимит мобильного тарифа. Даже если API роутера доступен из-за ошибочной конфигурации, возможно, функциональность SMS настроена неправильно или подвержена ограничениям по доставке. Отправляя тестовое сообщение на контролируемый номер, злоумышленник убеждается, что сервис действительно пригоден для эксплуатации перед запуском более широких вредоносных кампаний. Если эта гипотеза верна, она может служить ценным индикатором для кластеризации кампаний различных злоумышленников.

Поиск в Shodan показал наличие более 19 000 устройств Milesight Industrial Cellular Routers такого типа, доступных из публичного интернета. Почти половина этих устройств расположена в Австралии. Франция занимает второе место с почти 2000 доступными устройствами. Из 6643 проверенных устройств было идентифицировано, что 572 роутера разрешают неаутентифицированный доступ к их API входящих/исходящих сообщений. Эти открытые интерфейсы, по всей видимости, активно эксплуатировались для отправки вредоносных SMS-сообщений, что указывает на широкомасштабное злоупотребление данной уязвимостью. Большинство уязвимых роутеров работают на устаревшем firmware, причем версии 32.2.x.x и 32.3.x.x наблюдаются наиболее часто. Эти версии известны как подверженные множественным уязвимостям. Интересно, что два устройства также были идентифицированы как работающие на более новых версиях firmware, а именно 41.0.0.2 и 41.0.0.3. Стоит отметить, что неаутентифицированный доступ к API тестировался только на выборке IP-адресов роутеров. В сочетании с другими известными уязвимостями, весьма вероятно, что учетные данные могут быть получены, что потенциально позволяет эксплуатировать значительно большее количество устройств. Для роутеров, которые удалось идентифицировать как доступные, остается сложным определить, является ли доступ результатом конкретной уязвимости или просто ошибочной конфигурации, возможно, комбинации обоих факторов.

Географическое распределение уязвимых роутеров дает значительную информацию. Турция, Испания и Австралия входят в число стран с наибольшей концентрацией доступных устройств. При агрегации данных почти половина идентифицированных уязвимых роутеров расположена в Европе. Если телефонные номера жертв также в основном связаны с европейскими странами, это может помочь объяснить, почему пользователи из Европы становятся непропорционально частой мишенью. Действительно, наличие роутеров, физически расположенных в Европе и, вероятно, оснащенных SIM-картами европейских мобильных операторов, значительно облегчило бы доставку SMS-сообщений на европейские номера как с точки зрения надежности маршрутизации, так и воспринимаемой легитимности.

Собранные образцы SMS включают даты отправки, причем самые ранние вредоносные сообщения датируются февралем 2022 года. Это позволяет предположить, что уязвимость эксплуатировалась для smishing-кампаний как минимум с того времени. Данные также указывают, что несколько угрозовых акторов могут использовать эту недоработку. Анализ уникальных целевых телефонных номеров подтверждает, что Европа является основным регионом, затронутым этими вредоносными SMS-кампаниями. Это, вероятно, коррелирует с высокой распространенностью уязвимого оборудования, расположенного в Европе. Все собранные образцы SMS подтверждены как вредоносные. Путем извлечения целевых телефонных номеров, анализа дат отправки и сравнения содержимого сообщений удалось сгруппировать сообщения в отдельные smishing-кампании. Как показано на графике, большой объем идентичных SMS-сообщений был отправлен в один и тот же временной интервал на 42 044 уникальных шведских номера и 31 353 итальянских номера, что указывает на массовые кампании, запущенные одновременно. В отличие от этого, хотя в целом по Бельгии и Франции было затронуто меньше номеров, они подвергались воздействию многократно в ходе различных кампаний с течением времени. В Бельгии сообщения последовательно имитировали сервисы CSAM и eBox, тогда как французские кампании использовали более разнообразные приманки и предлоги.

На основе собранных образцов Бельгия, весьма вероятно, является наиболее часто атакуемой страной, с большим количеством отдельных кампаний, наблюдавшимся между ноябрем 2022 года и июлем 2025 года. В большинстве случаев фишинговое содержимое имитирует официальные сервисы, такие как CSAM и eBox. CSAM служит официальным федеральным порталом аутентификации в Бельгии, предоставляя безопасный доступ к ряду государственных и административных сервисов для граждан и бизнеса. eBox - это централизованный цифровой почтовый ящик, используемый в Бельгии, предназначенный для безопасной доставки официальных коммуникаций от государственных органов физическим и юридическим лицам. Бельгия, по всей видимости, является единственной страной, затронутой самыми последними кампаниями, наблюдавшимися в июне и июле 2025 года.

Франция также стала заметной мишенью, с несколькими кампаниями, зарегистрированными между октябрем 2022 года и мартом 2025 года. Стоит отметить широкий спектр имитируемых сервисов, охватывающих почтовую доставку, социальное обеспечение и банковские платежи.

В кампаниях, нацеленных на несколько стран в период с января по апрель 2025 года, общая тема SMS-сообщений оставалась последовательной, как правило, связанной с проблемами оплаты. Также было отмечено, что определенный домен - jnsi[.]xyz - использовался в нескольких этих кампаниях. Этот домен был зарегистрирован 8 апреля 2025 года и связан с IP-адресом 82.147.84[.]79, который принадлежит AS211860, относительно новой российской автономной системе. Этот IP-адрес также резолвился в домен estrk[.]xyz, который наблюдался в smishing-образцах, нацеленных на Швецию. В этих SMS-сообщениях отправитель был подделан под шведского телеком-оператора Telia. Также стоит отметить, что в тот же период этот IP-адрес был связан с несколькими другими высоко подозрительными доменами, некоторые из которых также имитировали Telia, что дополнительно подтверждает связь между инфраструктурой и текущей smishing-активностью.

Смишинг по-прежнему остается серьезной и растущей угрозой в сфере цифрового мошенничества. Эта форма атаки использует текстовые сообщения, чтобы обманом заставить людей раскрыть конфиденциальную информацию, такую как банковские реквизиты, часто выдавая себя за доверенные учреждения. Финансовое мошенничество с помощью фишинга остается классическим и очень эффективным методом, легко доступным для низкоквалифицированных злоумышленников благодаря широкой доступности фишинговых наборов, служб доставки и подпольных торговых площадок. Несмотря на свою простоту, этот метод может быть очень прибыльным, что делает его постоянным вектором в деятельности киберпреступников.

В данном случае кампании по рассылке смс-сообщений с целью мошенничества, по всей видимости, осуществлялись с использованием уязвимых сотовых маршрутизаторов — относительно простого, но эффективного средства доставки. Эти устройства особенно привлекательны для злоумышленников, поскольку позволяют рассылать смс-сообщения по нескольким странам децентрализованным образом, что затрудняет их обнаружение и устранение. Возможность отправлять сообщения в больших объемах, не вызывая подозрений в злонамеренности, является одной из ключевых операционных задач при рассылке смс-сообщений с целью мошенничества. Автоматизация этого процесса, поддержание высокой пропускной способности и обход систем фильтрации — вот основные ограничения, которые необходимо преодолеть злоумышленникам. Эта кампания примечательна тем, что демонстрирует, насколько эффективными могут быть операции смшинг, если они проводятся с использованием простой и доступной инфраструктуры. Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства уже используются в текущих или будущих кампаниях смшинг.

Domains

• assurancemaladie-renouvellement.info
• csam.e-box.help
• csam.ebox-login.xyz
• csam.pages.dev
• disney.plus-billing.sbs
• ebox.amltrust.cash
• ebox.c-sam.xyz
• ebox.csam-trust.xyz
• ebox.dlogin.info
• ebox.e-login.xyz
• ebox.pages.dev
• ebox.plus-billing.sbs
• ebox.terugbetaling.online
• ebox-vipps.pages.dev
• login.csam-terugbetaling.work
• logistique-infosms-laposte.fr
• my.ebox.help
• opposition.online
• service-interbancaire.pages.dev

URLs

• https://acountinteruption.diprimiocostruzioni.it/ppl-it/mark.php
• https://aefpceup.pt/mail/
• https://af-itsolutions.pt/mail/
• https://afpsat.pt/cbb/
• https://airprint.gr/kund/
• https://ald.azu.mybluehost.me/wp-content/ch/anti/verification.php
• https://alexismaidana.com.ar/padron/
• https://alkodi.gr/backup/
• https://alkodi.gr/kund/
• https://alkodieshop.gr/up/
• https://alkodieshop.gr/up//
• https://alojagora.com/mail/
• https://alpyateknoloji.com/wp-backup/
• https://aojdy5ex.dreamwp.com/wp-admin/css/colors/HOooo.php
• https://api.solarflevoland.nl/system_web/verification.php
• https://ateci.pt/Backup/
• https://auth-billing-smp.grupositel.com/simply/mark.php
• https://auth-simply.grupositel.com/simply/mark.php
• https://avrasyaproje.com.tr/backup/
• https://awladlktoccyat.ortomanalessia.com/ppl-it/mark.php
• https://blackcargo.pt/Backup/
• https://bluesign.pt/kund/
• https://bluesign.pt/mail/
• https://bzss.pt/cbb/
• https://bzss.pt/mail/
• https://candperdizes.com/mail/
• https://canreisgroup.com.tr/backup/
• https://carloscunhayoga.com/Backup/
• https://carloscunhayoga.com/Backup/index.php
• https://ccjc.pt/info/
• https://chissema.com/backup/
• https://coureladozambujeiro.com/wp-mail/
• https://crazybubble.pt/data/
• https://crazybubble.pt/mail/
• https://creativetrendwatcher.be/mail/
• https://crediadvisor.pt/inicio/
• https://criamoda.com/mail/
• https://devwrapi.washrocks.com/auth/en/verification.php
• https://devwrapi.washrocks.com/home/verification.php
• https://dewa-ae.mandegroupeinternational.org/gov/verification.php
• https://dpd-de.eyo-copter.com/pdpde/verification.php
• https://dynpyads.com/backup/
• https://edificiomallorca.com/data/
• https://edizhoca.com/wp-backup/
• https://ekademies.com/wp-mail/
• https://faberkit.pt/Backup/
• https://fhl.wvs.mybluehost.me/ch/anti/verification.php
• https://fixus.co.ao/mail/
• https://gelalentejo.com/mail/
• https://gfc-angola.com/mail/
• https://graficateke.com.br/mail/
• https://grupo-sk.com/mail/
• https://guvenisi.com/js/cform/
• https://ilkeevingencel.com/app/
• https://ilustremotivo.com/data/
• https://ilustremotivo.com/mail/
• https://lb-prm.blogspot.com/
• https://lp.washrocks.com/static/auth/en/verification.php
• https://luis.com.ve/mail/
• https://luiscarmocx.com/Back/
• https://marcioimoveis.pt/mit/
• https://marketexpresso.site/admin/
• https://mcaluminios.pt/refresh/
• https://metodorsame.sinistraperisraele.com/ppl-it/mark.php
• https://mikro.pt/kund/
• https://moqvk9zc.dreamwp.com/cr.php
• https://moqvk9zc.dreamwp.com/lo_gin/
• https://mr-bitcoin.ch/mail/
• https://naprakeszingatlan.hu/wp-mail/
• https://nookbees.com/mail/
• https://nwminingindaba.co.za/Kunden/
• https://outprint.pt/dk/
• https://paixaobaptista.pt/data/
• https://raiugarts.com/mail/
• https://restaurantefialho.pt/mail/
• https://sanremomotors.co.za/wp-mail/
• https://scmalmodovar.pt/mail/
• https://scvidros.com.br/mail/
• https://sercicio.paypl.studiolegaleflm.it/ppl-it/mark.php
• https://shaliyah.co.za/backup/
• https://shf.com.pt/mail/
• https://sites-leiria.pt/es/
• https://sites-leiria.pt/financas/data/
• https://superluckbet.com/bonus/
• https://sv-management.aaltink.com/wix/verification.php
• https://sv-management.eco-fin-service.it/wix/verification.php
• https://sv-management.firstresponder.nl/wix/verification.php
• https://sv-management.hospackfarma.nl/wix/verification.php
• https://sv-management.jetperformance.nl/wix/verification.php
• https://sv-management.ogveranda.com/wix/verification.php
• https://sv-management.olekgs.nl/en/home/verification.php
• https://sv-management.solarflevoland.nl/wix/verification.php
• https://sv-weebly-manage.solarflevoland.nl/app/verification.php
• https://thewondersmx.com/mail/
• https://torvi.pt/Backup/
• https://uon.bow.mybluehost.me/ch/verification.php
• https://uon.bow.mybluehost.me/DGT/verification.php
• https://urlocalartist.pt/mit/
• https://valeriatari.com/mytv/
• https://vmaxmagazin.hu/wp-mail/
• https://vortica.net/mail/
• https://weaving.pt/data/
• https://wheelmedia.hu/wheelmediahu/
• https://www.aeoj.org/mail/
• https://www.afpsat.pt/cbb/
• https://www.afpsat.pt/cbb/index.php
• https://www.autentifuturo.pt/mail/
• https://www.stassa.pt/wp-mail/
• https://ysu.ewp.mybluehost.me/sendgrid/verification.php
• https://ytd.src.mybluehost.me/DPD/verification.php
• https://yuhz.confeciona.com/