【安全圈】黑客滥用 Milesight 路由器向欧洲用户发送钓鱼短信

关键词

网络钓鱼

自 2022 年 2 月以来，未知威胁行为者一直在利用 Milesight 工业级蜂窝路由器开展短信钓鱼（Smishing）攻击，目标锁定在欧洲多国用户。法国网络安全公司 SEKOIA 披露，这些攻击者正通过滥用路由器的 API 功能发送恶意短信，其中包含伪造的钓鱼链接。

受攻击影响最严重的国家包括瑞典、意大利和比利时。攻击者所使用的域名往往是经过“拼写劫持”的仿冒网址，伪装成政府平台（如 CSAM、eBox）、银行、邮政或电信服务商，以诱导受害者点击并泄露敏感信息。

公开信息显示，全球约有 18,000 台此类路由器可直接通过互联网访问，其中至少有 572 台被评估为潜在受害目标，原因是这些设备暴露了收件箱和发件箱 API。大约一半的易受攻击设备分布在欧洲。

SEKOIA 指出：“该 API 不仅能发送短信，还允许读取收发记录，表明相关漏洞至少自 2022 年 2 月起已被用于大规模钓鱼短信活动。没有迹象显示攻击者尝试安装后门或利用设备的其他漏洞，这说明攻击高度聚焦于短信滥用。”

这类攻击被认为与 Milesight 路由器中一个已修补的信息泄露漏洞（CVE-2023-43261，CVSS 评分 7.5）有关。该漏洞最早由安全研究员 Bipin Jitiya 于 2023 年披露。随后不久，安全公司 VulnCheck 便警告该漏洞可能已经被武器化。

进一步调查发现，一些工业路由器甚至允许在未进行任何身份验证的情况下调用短信相关功能，如发送短信或查看短信历史。这使得攻击者能够通过验证测试阶段，先向自己控制的号码发送短信，以确认设备是否可被利用。值得注意的是，一些运行较新固件版本的设备同样暴露了相关接口，这意味着部分问题可能源自配置错误，而非漏洞本身。

在钓鱼链路方面，攻击者投递的恶意页面通常带有检测脚本，仅在确认访问设备为手机后才加载完整的欺骗性内容。这些页面会诱导用户更新银行资料，以获取所谓的“补偿款项”。其中在 2025 年 1 月至 4 月使用的某个域名（jnsi[.]xyz）还嵌入了禁用右键和调试工具的 JavaScript 代码，企图阻碍安全人员的分析。部分页面甚至将访问记录回传至一个名为GroozaBot的 Telegram 机器人，该机器人疑似由一名使用“Gro_oza”代号、会说阿拉伯语和法语的黑客操控。

SEKOIA 总结道：“这些短信钓鱼活动依赖于对蜂窝路由器漏洞的滥用，这种方式虽然并不复杂，但极具效果。攻击者通过分布在多国的路由器去中心化投递钓鱼短信，使检测与下架行动面临极大挑战。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！