È stata osservata una nuova campagna di malware di destinazione dei dispositivi Edge di Cisco, ASUS, QNAP e Synology per portarli in una botnet denominata Polaredge da almeno la positive del 2023.
La società di sicurezza informatica francese Sekoia disse Ha osservato che gli attori delle minacce sconosciuti sfruttano CVE-2023-20118 (Punteggio CVSS: 6.5), un difetto di sicurezza critico che ha un impatto su Cisco Small Enterprise RV016, RV042, RV042G, RV082, RV320 e router RV325 che potrebbero comportare l’esecuzione di comando arbitrari su dispositivi suscettibili.
La vulnerabilità rimane senza patch a causa dei router che raggiungono lo stato di positive vita (EOL). Come mitigazione, Cisco raccomandò all’inizio del 2023 che il difetto fosse mitigato disabilitando la gestione remota e bloccando l’accesso alle porte 443 e 60443.
Nell’attacco registrato contro gli honeypot di Sekoia, si cube che la vulnerabilità sia stata utilizzata per consegnare un impianto precedentemente privo di documenti, una backdoor TLS che incorpora la possibilità di ascoltare le connessioni del cliente in arrivo ed eseguire comandi.
Il backdoor viene lanciato per mezzo di uno script di shell chiamato “Q” che viene recuperato tramite FTP ed eseguita a seguito di uno sfruttamento riuscito della vulnerabilità. Viene fornito con capacità per –
- File di registro di pulizia
- Terminare processi sospetti
- Scarica un payload dannoso chiamato “T.tar” da 119.8.186 (.) 227
- Eseguire un binario chiamato “Cipher_log” estratto dall’archivio
- Stabilisci la persistenza modificando un file denominato “/and so on/flash/and so on/cipher.sh” per eseguire ripetutamente il binario “cipher_log”
- Esegui “Cipher_log”, il backdoor TLS
CodenAmed Polaredge, il malware entra in un ciclo infinito, stabilendo una sessione TLS e generando un processo figlio per gestire le richieste dei clienti ed eseguire comandi utilizzando EXEC_COMMAND.
“Il binario informa il server C2 di aver infettato con successo un nuovo dispositivo”, hanno affermato i ricercatori di Sekoia Jeremy Scion e Felix Aimé. “Il malware trasmette queste informazioni sul server di reporting, consentendo all’attaccante di determinare quale dispositivo è stato infettato attraverso l’indirizzo IP/l’accoppiamento della porta.”
Ulteriori analisi hanno scoperto simili payload polarizzati utilizzati per colpire i dispositivi ASUS, QNAP e Synology. Tutti i manufatti sono stati caricati su virustotali dagli utenti situati a Taiwan. I payload sono distribuiti tramite FTP utilizzando l’indirizzo IP 119.8.186 (.) 227, che appartiene a Huawei Cloud.
Complessivamente, si stima che la botnet abbia compromesso 2.017 indirizzi IP unici in tutto il mondo, con la maggior parte delle infezioni rilevate negli Stati Uniti, Taiwan, Russia, India, Brasile, Australia e Argentina.
“Lo scopo di questa botnet non è stato ancora determinato”, hanno osservato i ricercatori. “Un obiettivo di Polaredge potrebbe essere quello di controllare i dispositivi a bordo compromessi, trasformandoli in scatole di relè operative per il lancio di attacchi informatici offensivi.”
“La botnet sfrutta molteplici vulnerabilità tra i diversi tipi di attrezzature, evidenziando la sua capacità di colpire vari sistemi. La complessità dei carichi utili sottolinea ulteriormente la raffinatezza dell’operazione, suggerendo che viene condotta da operatori qualificati. Ciò indica che Polaredge è una minaccia cibernetica ben coordinata e sostanziale.”
La divulgazione arriva quando SecurityScoreCard ha rivelato che una botnet massiccia comprendente oltre 130.000 dispositivi infetti viene armato per condurre attacchi su larga scala di spruzzati con gli account Microsoft 365 (M365) sfruttando Segni non interattivi con autenticazione di base.
I segni non interattivi vengono generalmente utilizzati per i protocolli di autenticazione e legacy da servizio a servizio come POP, IMAP e SMTP. Non attivano l’autenticazione a più fattori (MFA) in molte configurazioni. L’autenticazione di base, d’altra parte, consente di trasmettere le credenziali in formato in chiaro.
L’attività, probabilmente il lavoro di un gruppo affiliato cinese a causa dell’uso di infrastrutture legate ai CDS World Cloud e UCloud HK, impiega credenziali rubate dai registri di Infostealer in una vasta gamma di account M365 per ottenere un accesso non autorizzato e ottenere dati sensibili.
“Questa tecnica aggira le moderne protezioni di accesso ed elude l’applicazione dell’MFA, creando un punto cieco critico per i staff di sicurezza”, l’azienda disse. “Gli aggressori sfruttano le credenziali rubate dai registri Infostealer per indirizzare sistematicamente gli account su scala.”
“Questi attacchi sono registrati in registri di accesso non interattivi, che sono spesso trascurati dalle squadre di sicurezza. Gli aggressori sfruttano questo divario per condurre tentativi di spruzzatura password advert alto quantity non rilevati. Questa tattica è stata osservata in più inquilini M365 a livello globale, indicando una minaccia diffusa e in corso.”
