Se ha observado una nueva campaña de malware dirigida a dispositivos de borde de Cisco, ASUS, QNAP y Synology para colocarlos en una botnet llamada Polaredge desde al menos finales de 2023.
La compañía francesa de ciberseguridad Sekoia dijo que observó a los actores de amenaza desconocidos que aprovechan CVE-2023-20118 (puntaje CVSS: 6.5), una falla de seguridad crítica que impacta a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Rougers que podrían dar como resultado un comando de comando arbitrario.
La vulnerabilidad sigue sin parpadear debido a que los enrutadores alcanzan el estado de fin de vida (EOL). Como mitigaciones, Cisco recomendó a principios de 2023 que la falla se mitige al deshabilitar la gestión remota y bloquear el acceso a los puertos 443 y 60443.
En el ataque registrado contra los honeypots de Sekoia, se dice que la vulnerabilidad se utilizó para entregar un implante previamente indocumentado, una puerta trasera TLS que incorpora la capacidad de escuchar las conexiones de cliente entrantes y ejecutar comandos.
La puerta trasera se lanza mediante un script de shell llamado «Q» que se recupera a través de FTP y se ejecuta después de una explotación exitosa de la vulnerabilidad. Viene con capacidades para –
- Archivos de registro de limpieza
- Terminar procesos sospechosos
- Descargue una carga útil maliciosa llamada «T.tar» del 119.8.186 (.) 227
- Ejecutar un binario llamado «cipher_log» extraído del archivo
- Establecer persistencia modificando un archivo llamado «/etc/flash/etc/cipher.sh» para ejecutar el binario «cipher_log» repetidamente
- Ejecutar «cipher_log», la puerta trasera TLS
Codenamed Polaredge, el malware entra en un bucle infinito, estableciendo una sesión TLS, así como para generar un proceso infantil para administrar las solicitudes de los clientes y ejecutar comandos utilizando EXEC_COMMAND.
«El binario informa al servidor C2 que ha infectado con éxito un nuevo dispositivo», dijeron los investigadores de Sekoia Jeremy Scion y Felix Aimé. «El malware transmite esta información al servidor de informes, lo que permite al atacante determinar qué dispositivo estaba infectado a través de la dirección IP/emparejamiento de puertos».
Un análisis posterior ha descubierto cargas útiles de Polaredge similares que se utilizan para dirigir los dispositivos ASUS, QNAP y Synology. Todos los artefactos fueron subidos a Virustotal por usuarios ubicados en Taiwán. Las cargas útiles se distribuyen mediante FTP utilizando la dirección IP 119.8.186 (.) 227, que pertenece a Huawei Cloud.
En total, se estima que la botnet ha comprometido 2.017 direcciones IP únicas en todo el mundo, con la mayoría de las infecciones detectadas en los Estados Unidos, Taiwán, Rusia, India, Brasil, Australia y Argentina.
«El propósito de esta botnet aún no se ha determinado», señalaron los investigadores. «Un objetivo de Polaredge podría ser controlar los dispositivos de borde comprometidos, transformándolos en cajas de relé operativas para lanzar ataques cibernéticos ofensivos».
«La Botnet explota múltiples vulnerabilidades en diferentes tipos de equipos, destacando su capacidad para apuntar a diversos sistemas. La complejidad de las cargas útiles subrayan aún más la sofisticación de la operación, lo que sugiere que los operadores calificados lo llevan a cabo. Esto indica que Polaredge es una amenaza cibernética bien coordinada y sustancial».
La divulgación se produce cuando SecurityScorecard reveló que se está armando una botnet masiva que comprende más de 130,000 dispositivos infectados para realizar ataques a gran escala de contraseña contra cuentas de Microsoft 365 (M365) mediante la explotación de firmantes no interactivos con autenticación básica.
Los firmantes no interactivos se usan típicamente para la autenticación de servicio a servicio y protocolos heredados como POP, IMAP y SMTP. No activan la autenticación multifactor (MFA) en muchas configuraciones. La autenticación básica, por otro lado, permite que las credenciales se transmitan en formato de texto sin formato.
La actividad, probablemente el trabajo de un grupo afiliado a los chinos, debido al uso de infraestructura vinculada a CDS Global Cloud y UCloud HK, emplea credenciales robadas de registros de infostales en una amplia gama de cuentas M365 para obtener acceso no autorizado y obtener datos sensibles.
«Esta técnica evita las protecciones modernas de inicio de sesión y evade la aplicación de MFA, creando un punto ciego crítico para los equipos de seguridad», dijo la compañía. «Los atacantes aprovechan las credenciales robadas de los registros de infantes de infantes para atacar sistemáticamente las cuentas a escala».
«Estos ataques se registran en registros de inicio de sesión no interactivos, que a menudo son pasados por alto por los equipos de seguridad. Los atacantes explotan esta brecha para realizar intentos de pulverización de contraseñas de alto volumen.