Se ha observado una nueva campaña de malware dirigida a dispositivos de borde de Cisco, ASUS, QNAP y Synology para colocarlos en una botnet señal Polaredge desde al menos finales de 2023.
La compañía francesa de ciberseguridad Sekoia dijo que observó a los actores de amenaza desconocidos que desplegaron una puerta trasera al exprimir CVE-2023-20118 (puntaje CVSS: 6.5), una rotura de seguridad crítica que impacta los rv016 de pequeñas empresas de Cisco, RV042, RV042G, RV082, RV320 y RV325 Routers que podrían resultar en Arbitutomer en Arbitutomer en Arbitutomer en Arbituty Executal en Arbituty en Arbituty en Arbitynal en el sospechoso de los RV325 que podrían resultar en Arbitutomer en Arbitutomary en Arbitutys en Arbitynal en Arbituty. dispositivos.
La vulnerabilidad sigue sin parpadear conveniente a que los enrutadores alcanzan el estado de fin de vida (EOL). Como soluciones, Cisco recomendó a principios de 2023 que la rotura se puede mitigar deshabilitando la diligencia remota y bloqueando el paso a los puertos 443 y 60443.
En el ataque registrado contra los honeypots de Sekoia, se dice que la vulnerabilidad se utilizó para entregar un implante previamente indocumentado, una puerta trasera TLS que incorpora la capacidad de escuchar las conexiones de cliente entrantes y ejecutar comandos.
La puerta trasera se rejón mediante un script de shell llamado “Q” que se recupera a través de FTP y se ejecuta luego de una explotación exitosa de la vulnerabilidad. Viene con capacidades para –
- Archivos de registro de higienización
- Terminar procesos sospechosos
- Descargue una carga útil maliciosa señal “T.tar” del 119.8.186 (.) 227
- Ejecutar un binario llamado “cipher_log” extraído del archivo
- Establecer persistencia modificando un archivo llamado “/etc/flash/etc/cipher.sh” para ejecutar el binario “cipher_log” repetidamente
- Ejecutar “cipher_log”, la puerta trasera TLS
Codenamed Polaredge, el malware entra en un onda infinito, estableciendo una sesión TLS, así como para originar un proceso de niño para gobernar las solicitudes de los clientes y ejecutar comandos utilizando EXEC_COMMAND.
“El binario informa al servidor C2 que ha infectado con éxito un nuevo dispositivo”, dijeron los investigadores de Sekoia Jeremy Scion y Felix Aimé. “El malware transmite esta información al servidor de informes, lo que permite al atacante determinar qué dispositivo estaba infectado a través de la dirección IP/emparejamiento de puertos”.
Un examen posterior ha descubierto cargas avíos de Polaredge similares que se utilizan para dirigir los dispositivos ASUS, QNAP y Synology. Todos los artefactos fueron subidos a Virustotal por usuarios ubicados en Taiwán. Las cargas avíos se distribuyen mediante FTP utilizando la dirección IP 119.8.186 (.) 227, que pertenece a Huawei Cloud.
En total, se estima que la botnet ha comprometido 2.017 direcciones IP únicas en todo el mundo, con la mayoría de las infecciones detectadas en los Estados Unidos, Taiwán, Rusia, India, Brasil, Australia y Argentina.
“El propósito de esta botnet aún no se ha determinado”, señalaron los investigadores. “Un objetivo de Polaredge podría ser controlar los dispositivos de borde comprometidos, transformándolos en cajas de relé operativas para editar ataques cibernéticos ofensivos”.
“La Botnet explota múltiples vulnerabilidades en diferentes tipos de equipos, destacando su capacidad para apuntar a diversos sistemas. La complejidad de las cargas avíos subrayan aún más la sofisticación de la operación, lo que sugiere que los operadores calificados lo llevan a punta. Esto indica que Polaredge es una amenaza cibernética aceptablemente coordinada y sustancial”.
La divulgación se produce cuando SecurityScorecard reveló que se está armando una botnet masiva que comprende más de 130,000 dispositivos infectados para realizar ataques a gran escalera de contraseña contra cuentas de Microsoft 365 (M365) mediante la explotación de firmantes no interactivos con autenticación básica.
Los firmantes no interactivos se usan típicamente para la autenticación de servicio a servicio y protocolos heredados como POP, IMAP y SMTP. No activan la autenticación multifactor (MFA) en muchas configuraciones. La autenticación básica, por otro costado, permite que las credenciales se transmitan en formato de texto sin formato.
La actividad, probablemente el trabajo de un camarilla afiliado a los chinos, conveniente al uso de infraestructura vinculada a CDS Entero Cloud y UCloud HK, emplea credenciales robadas de registros de infostales en una amplia serie de cuentas M365 para obtener paso no calificado y obtener datos sensibles.
“Esta técnica evita las protecciones modernas de inicio de sesión y evade la aplicación de MFA, creando un punto ciego crítico para los equipos de seguridad”, dijo la compañía. “Los atacantes aprovechan las credenciales robadas de los registros de infantes de infantes para atacar sistemáticamente las cuentas a escalera”.
“Estos ataques se registran en registros de inicio de sesión no interactivos, que a menudo son pasados por detención por los equipos de seguridad. Los atacantes explotan esta brecha para realizar intentos de pulverización de contraseñas de detención cuerpo.
