En azından 2023’ün sonundan beri Polaredge adlı bir botnete iptal etmek için Cisco, ASUS, QNAP ve Synology’den kenar cihazlarını hedefleyen yeni bir kötü amaçlı yazılım kampanyası gözlendi.
Fransız siber güvenlik şirketi Sekoia, bilinmeyen tehdit aktörlerinin CVE-2023-20118’den (CVSS skoru: 6.5), Cisco Küçük İşletme RV016, RV042, RV042G, RV082, RV320, RV325 yönlendiricilerinin sinciye neden olabilecek kritik bir güvenlik kusurunu etkilediğini gözlemlediğini söyledi.
Yaşam sonu (EOL) durumuna ulaşan yönlendiriciler nedeniyle güvenlik açığı açılmamıştır. Etkileme olarak Cisco, 2023’ün başlarında, uzaktan yönetimi devre dışı bırakarak ve 443 ve 60443 bağlantı noktalarına erişimi engelleyerek kusurun hafifletilmesini önerdi.
Sekoia’nın balkaptılarına karşı kaydedilen saldırıda, güvenlik açığının, gelen müşteri bağlantılarını dinleme ve komutları yürütme yeteneğini içeren bir TLS arka kapısı olan daha önce belgelenmemiş bir implant sunmak için kullanıldığı söylenir.
Arka kapı, FTP aracılığıyla alınan ve güvenlik açığının başarılı bir şekilde kullanılmasının ardından çalıştırılan “Q” adlı bir kabuk komut dosyası aracılığıyla başlatılır. Yetenekleri ile birlikte gelir –
- Günlük dosyalarını temizleme
- Şüpheli süreçleri sonlandırın
- 119.8.186’dan “T.tar” adlı kötü amaçlı bir yük indirin[.]227
- Arşivden çıkarılan “Cipher_log” adlı bir ikili çalıştırın
- “Cipher_log” ikili çalıştırmak için “/etc/flash/etc/cipher.sh” adlı bir dosyayı değiştirerek kalıcılık oluşturun
- “Cipher_log”, TLS arka kapı
Codened Polaredge, kötü amaçlı yazılım sonsuz bir döngüye girer, bir TLS oturumu oluşturur ve istemci isteklerini yönetmek ve exec_command kullanarak komutları yürütmek için bir alt işlem sunar.
Sekoia araştırmacıları Jeremy Scion ve Felix Aimé, “İkili C2 sunucusuna yeni bir cihazı başarıyla enfekte ettiğini bildiriyor.” Dedi. “Kötü amaçlı yazılım, bu bilgileri raporlama sunucusuna ileterek saldırganın IP adresi/bağlantı noktası eşleştirme yoluyla hangi cihaza bulaştığını belirlemesini sağlıyor.”
Daha fazla analiz, ASUS, QNAP ve sinoloji cihazlarını hedeflemek için kullanılan benzer polaredge yüklerini ortaya çıkarmıştır. Tüm eserler Tayvan’da bulunan kullanıcılar tarafından Virustotal’a yüklendi. Yükler, 119.8.186 IP adresi kullanılarak FTP aracılığıyla dağıtılır[.]227, Huawei Cloud’a ait.
Toplamda, Botnet’in dünyanın dört bir yanında 2.017 benzersiz IP adresinden ödün verdiği tahmin ediliyor ve enfeksiyonların çoğu ABD, Tayvan, Rusya, Hindistan, Brezilya, Avustralya ve Arjantin’de tespit edildi.
Araştırmacılar, “Bu botnet’in amacı henüz belirlenmedi.” “Polaredge’nin bir amacı, tehlikeye atılan kenar cihazlarını kontrol etmek, bunları saldırgan siber saldırıları başlatmak için operasyonel röle kutularına dönüştürmek olabilir.”
“Botnet, farklı ekipman türlerinde birden fazla güvenlik açığından yararlanır ve çeşitli sistemleri hedefleme yeteneğini vurgular. Yüklerin karmaşıklığı, operasyonun karmaşıklığını daha da vurgular ve bu da vasıflı operatörler tarafından yürütüldüğünü gösterir.
Açıklama, SecurityScorecard’ın, 130.000’den fazla enfekte cihazdan oluşan büyük bir botnet’in, etkileşimli olmayan işaretleri temel kimlik doğrulamasıyla kullanarak Microsoft 365 (M365) hesaplarına karşı büyük ölçekli şifre püskürtme saldırıları yapmak için silahlandırıldığını ortaya koymasıyla ortaya çıkıyor.
Etkileşimli olmayan işaretler tipik olarak hizmet-servis kimlik doğrulaması ve POP, IMAP ve SMTP gibi eski protokoller için kullanılır. Birçok konfigürasyonda çok faktörlü kimlik doğrulamasını (MFA) tetiklemezler. Öte yandan temel kimlik doğrulama, kimlik bilgilerinin düz metin biçiminde aktarılmasına izin verir.
CDS Global Cloud ve UCloud HK’ye bağlı altyapı kullanımı nedeniyle Çin’e bağlı bir grubun çalışması, etkinlik, yetkisiz erişim elde etmek ve hassas verileri elde etmek için çok çeşitli M365 hesaplarında çalıntı kimlik bilgilerini kullanır.
Şirket, “Bu teknik, modern giriş korumalarını atlıyor ve MFA uygulamasından kaçıyor ve güvenlik ekipleri için kritik bir kör nokta yaratıyor.” Dedi. “Saldırganlar, Infostealer günlüklerinden sistematik olarak hesapları ölçmek için çalıntı kimlik bilgilerini kullanıyor.”
Diyerek şöyle devam etti: “Bu saldırılar, genellikle güvenlik ekipleri tarafından göz ardı edilen etkileşimli olmayan oturum açma günlüklerinde kaydedilir. Saldırganlar, bu taktik, küresel olarak birden fazla M365 kiracıya büyük ve devam eden bir tehdidi gösteren yüksek hacimli şifre püskürtme girişimleri yapmak için bu boşluğu kullanır.”