Selon SEKOIA (blog.sekoia.io), des campagnes de smishing exploitent des routeurs cellulaires industriels Milesight via CVE-2023-43261 et une API non authentifiée pour envoyer des SMS malveillants, ciblant principalement des utilisateurs belges et européens.
Les chercheurs décrivent une exploitation du point de terminaison /cgi via des requêtes POST permettant l’envoi de SMS sans authentification. Les acteurs utilisent des payloads JSON avec des paramètres pour accéder aux fonctions query_outbox et query_inbox. Plus de 572 routeurs vulnérables ont été confirmés parmi 19 000 dispositifs exposés publiquement, avec des signes d’abus remontant à février 2022.
Les SMS usurpent des services légitimes tels que CSAM et eBox, avec un contenu de phishing localisé. L’infrastructure de phishing déploie une détection d’appareils mobiles (JavaScript: /static/detect_device.js) et renvoie des erreurs HTTP 500 lorsque l’accès n’est pas effectué depuis un mobile 📱.
Les chercheurs identifient deux clusters distincts: 1) un cluster ciblant la Belgique (CSAM/eBox) s’appuyant majoritairement sur le fournisseur lituanien Podaon (AS210895), 2) un cluster multi-pays utilisant une infrastructure russe (AS211860) et la boîte à outils GroozaV2.
Type et objectif: il s’agit d’une analyse de menace destinée à documenter l’abus d’APIs de routeurs cellulaires pour des campagnes de smishing, à caractériser les infrastructures impliquées et à décrire les modes opératoires observés.
• IOCs et infrastructures:
- AS210895 (Podaon, Lituanie)
- AS211860 (Russie)
- Ressource côté phishing: /static/detect_device.js
• TTPs observés:
- Abus d’une API non authentifiée sur routeurs Milesight (CVE-2023-43261)
- Requêtes POST vers /cgi avec JSON pour envoyer des SMS
- Opérations query_outbox et query_inbox
- Smishing ciblé (usurpation CSAM et eBox) avec contenu localisé
- Détection mobile et blocage via HTTP 500 pour accès non-mobile
- Usage de l’outillage GroozaV2
🧠 TTPs et IOCs détectés
TTPs
[‘Abus d’une API non authentifiée sur routeurs Milesight (CVE-2023-43261)’, ‘Requêtes POST vers /cgi avec JSON pour envoyer des SMS’, ‘Opérations query_outbox et query_inbox’, ‘Smishing ciblé (usurpation CSAM et eBox) avec contenu localisé’, ‘Détection mobile et blocage via HTTP 500 pour accès non-mobile’, ‘Usage de l’outillage GroozaV2’]
IOCs
[‘AS210895 (Podaon, Lituanie)’, ‘AS211860 (Russie)’, ‘/static/detect_device.js’]
🔗 Source originale : https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/