Siber güvenlik araştırmacıları, bir tehdit aktörü Vicioustrap adlı bir tehdit aktörünün 84 ülkede yaklaşık 5.300 benzersiz ağ kenar cihazından ödün verdiğini ve bunları bal benzeri bir ağa dönüştürdüğünü açıkladı.
Tehdit oyuncusu, Cisco Small Business RV016, RV042, RV042G, RV082, RV320 ve RV325 yönlendiricileri (CVE-2023-20118) etkileyen kritik bir güvenlik kusurunun kullanımı gözlemlenmiştir. Enfeksiyonların çoğunluğu Macau’da, 850 uzlaşmış cihazla bulunur.
Sekoia, Perşembe günü yayınlanan bir analizde, “Enfeksiyon zinciri, gelen trafiği uzlaşmış yönlendiricinin belirli bağlantı noktalarından, saldırganın kontrolü altında ağ akışlarına müdahale etmesine izin veren bir balkon benzeri altyapıya yönlendiren Netghost olarak adlandırılan bir kabuk komut dosyasının yürütülmesini içeriyor.” Dedi.
CVE-2023-20118’in sömürülmesinin daha önce Fransız siber güvenlik şirketi tarafından Polaredge olarak adlandırılan başka bir Botnet’e atfedildiğini belirtmek gerekir.
Bu iki faaliyet setinin bağlantılı olduğuna dair bir kanıt olmasa da, Vicioustrap’ın arkasındaki tehdit aktörünün, SOHO yönlendiricileri, SSL VPN’leri, DVR’ler ve Araknis Networks, DVRS ve BMC denetleyicilerinin Araknis Networks, DVRS ve BMC denetleyicilerinin Araknis Networks, DVR’ler ve BMC denetleyicileri gibi geniş bir yelpazede ve BMC denetleyicilerini ihlal ettiğine inanılmaktadır.
“Bu kurulum, aktörün birden fazla ortamda sömürü girişimlerini gözlemlemesine ve potansiyel olarak kamuya açık olmayan veya sıfır gün istismarlarını toplamasına ve diğer tehdit aktörleri tarafından elde edilen erişimi yeniden kullanmasına izin verecektir.”
Saldırı zinciri, CVE-2023-20118’in FTPGET aracılığıyla bir BASH komut dosyasını indirip yürütmek için silahlandırılmasını gerektirir, bu da WGY ikilisini almak için harici bir sunucu ile temasa geçer. Bir sonraki adımda, Cisco kusuru ikinci kez kullanılır ve daha önce düşürülen WGY kullanılarak alınan ikinci bir komut dosyasını yürütmek için kullanılır.
Dahili olarak NetGhost olarak atıfta bulunulan ikinci aşamalı kabuk komut dosyası, ağ trafiğini uzlaşmış sistemden saldırgan tarafından kontrol edilen üçüncü taraf altyapısına yönlendirecek şekilde yapılandırılmıştır, böylece ortadaki düşman (AITM) saldırılarını kolaylaştırır. Ayrıca, adli izi en aza indirmek için kendisini tehlikeye atılan ana bilgisayardan kaldırma yetenekleri ile birlikte gelir.
Sekoia, tüm sömürü girişimlerinin tek bir IP adresinden kaynaklandığını söyledi (“101.99.91[.]151 “), Mart 2025’e kadar uzanan en erken aktivite ile bir ay sonra gözlemlenen dikkate değer bir olayda, Vicioustrap aktörlerinin daha önce Polaredge Botnet saldırılarında kendi operasyonları için kullanılmış belgesiz bir web kabuğunu yeniden kullandığı söyleniyor.
Güvenlik araştırmacıları Felix Aimé ve Jeremy Scion, “Bu varsayım saldırganın NetGhost kullanımı ile uyumlu.” Dedi. “Yeniden yönlendirme mekanizması, saldırganı, sömürü denemeleri toplayabilen ve potansiyel olarak web kabuğunun transit olarak erişebilen sessiz bir gözlemci olarak etkili bir şekilde konumlandırıyor.”
Bu ay kadar yakın zamanda, sömürü çabaları da ASUS yönlendiricilerini hedefledi, ancak farklı bir IP adresinden (“101.99.91[.]239 “), tehdit aktörlerinin enfekte olmuş cihazlarda herhangi bir balpot oluşturduğu bulunmamış olsa da. Kampanyada aktif olarak kullanılan tüm IP adresleri Malezya’da bulunur ve sağlayıcı Shinjiru’ya ev sahipliği yaparak işletilen bir otonom sistemin (AS45839) parçasıdır.
Aktörün, gobrat altyapısı ile zayıf bir örtüşme temelinde Çince konuşan kökenli olduğuna ve trafiğin Tayvan ve Amerika Birleşik Devletleri’ndeki çok sayıda varlığa yönlendirildiğine inanılıyor.
“Vicioustrap’ın nihai amacı bile belirsizliğini koruyor [though] Sekoia, bunun honeypot tarzı bir ağ olduğunu güvenle değerlendiriyoruz. “