Siber güvenlik araştırmacıları, botnet kötü amaçlı yazılımının iç işleyişine ışık tuttu. PolarEdge.
PolarEdge ilk olarak Şubat 2025’te Sekoia tarafından belgelendi ve bu durum, Cisco, ASUS, QNAP ve Synology’nin yönlendiricilerini henüz belirlenemeyen bir amaç için bir ağda birleştirmeyi amaçlayan bir kampanyaya atfedildi.
TLS tabanlı ELF implantı, özünde, gelen istemci bağlantılarını izlemek ve bunlar içindeki komutları yürütmek için tasarlanmıştır.
Daha sonra Ağustos 2025’te saldırı yüzeyi yönetim platformu Censys, botnet’e güç veren altyapı omurgasını ayrıntılı olarak açıkladı ve şirket, PolarEdge’in Operasyonel Aktarma Kutusu (ORB) ağıyla tutarlı özellikler sergilediğini belirtti. Kötü amaçlı yazılım içeren faaliyetin Haziran 2023’te başlamış olabileceğini gösteren kanıtlar var.
Şubat 2025’te gözlemlenen saldırı zincirlerinde, tehdit aktörlerinin Cisco yönlendiricilerini (CVE-2023-20118) etkileyen bilinen bir güvenlik açığından yararlanarak FTP üzerinden “q” adlı bir kabuk komut dosyası indirdiği gözlemlendi. Bu komut dosyası, daha sonra ele geçirilen sistemdeki PolarEdge arka kapısının alınmasından ve yürütülmesinden sorumludur.
Fransız siber güvenlik şirketi, kötü amaçlı yazılımın teknik analizinde, “Arka kapının birincil işlevi, komut ve kontrol sunucusuna bir ana bilgisayar parmak izi göndermek ve ardından mbedTLS ile uygulanan yerleşik bir TLS sunucusu üzerinden komutları dinlemektir” dedi.
PolarEdge iki çalışma modunu destekleyecek şekilde tasarlanmıştır: arka kapının uzak bir sunucudan dosya indirmek için TLS istemcisi gibi davrandığı geri bağlantı modu ve arka kapının, yapılandırmasını (yani sunucu bilgilerini) anında değiştirmek için etkileşimli moda girdiği hata ayıklama modu.
Yapılandırma, ELF görüntüsünün son 512 baytına gömülüdür ve tek baytlık anahtar 0x11 ile şifresi çözülebilen bir baytlık XOR tarafından karartılmıştır.
Ancak varsayılan modu, komut ve kontrol (C2) sunucusuna ana bilgisayar parmak izini göndermek ve komutların gönderilmesini beklemek için bir TLS sunucusu olarak işlev görmektir. TLS sunucusu mbedTLS v2.8.0 ile uygulanır ve “HasCommand” adlı bir parametre de dahil olmak üzere belirli ölçütlerle eşleşen gelen istekleri ayrıştırmak için özel bir ikili protokole dayanır.
 |
| Arka kapının bazı kısımlarını gizlemek için kullanılan şifreleme algoritmaları |
“HasCommand” parametresi ASCII karakter 1’e eşitse, arka kapı “Command” alanında belirtilen komutu çıkarıp çalıştırmaya devam eder ve yürütülen komutun ham çıktısını geri iletir.
PolarEdge başlatıldığında, etkilenen cihazdaki belirli dosyaları da taşır (örneğin, /usr/bin/wget, /sbin/curl) ve belirli dosyaları (“/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak”) siler, ancak bu adımın arkasındaki kesin amaç belirsizdir.
Ayrıca arka kapı, TLS sunucusu kurulumu ve parmak izi alma mantığıyla ilgili bilgileri gizlemek için çok çeşitli anti-analiz teknikleri içerir. Tespitten kaçınmak için, başlatma aşamasında önceden tanımlanmış bir listeden rastgele bir isim seçerek süreç maskelemeyi kullanır. Dahil edilen adlardan bazıları şunlardır: igmproxy, wscd, /sbin/dhcpd, httpd, upnpd ve iapp.
“Arka kapı, yeniden başlatmalar boyunca kalıcılığı garanti etmese de, her 30 saniyede bir /proc/ olup olmadığını kontrol eden bir alt süreç oluşturmak için fork’u çağırır.
Açıklama, Synthient’in GhostSocks’un ele geçirilen cihazları SOCKS5 konut proxy’lerine dönüştürme yeteneğini vurgulamasının ardından geldi. GhostSocks’un ilk olarak Ekim 2023’te XSS forumunda hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında tanıtıldığı söyleniyor.
Teklifin 2024’ün başından itibaren Lumma Stealer’a entegre edildiğini ve bu sayede hırsız kötü amaçlı yazılım müşterilerinin bulaşma sonrasında ele geçirilen cihazlardan para kazanmalarına olanak sağladığını belirtmekte fayda var.
Synthient yakın tarihli bir analizde “GhostSocks, müşterilere 32 bitlik bir DLL veya yürütülebilir dosya oluşturma yeteneği sağlıyor” dedi. “GhostSocks, %TEMP% içinde bir yapılandırma dosyasını bulmaya çalışacak. Yapılandırma dosyasının bulunamaması durumunda, sabit kodlu bir yapılandırmaya geri dönecektir.”
Yapılandırma, SOCKS5 proxy’sini sağlamak ve sonuçta açık kaynaklı go-socks5 ve yamux kitaplıklarını kullanarak bir bağlantı oluşturmak için bağlantının kurulduğu C2 sunucusunun ayrıntılarını içerir.