Uma nova campanha de malware foi observada visando dispositivos de borda da Cisco, ASUS, QNAP e Synology para incorporá-los em um botnet chamado PolarEdge desde, pelo menos, o final de 2023.
A empresa francesa de cibersegurança Sekoia disse que observou os atores de ameaças desconhecidos explorando o
CVE-2023-20118
(pontuação CVSS: 6.5), uma falha de segurança crítica impactando os roteadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325 que poderia resultar na execução arbitrária de comandos em dispositivos susceptíveis.
A vulnerabilidade permanece sem correção devido ao status de fim de vida útil (EoL) dos roteadores.
Como medidas de mitigação, a Cisco recomendou no início de 2023 que a falha fosse mitigada desativando o gerenciamento remoto e bloqueando o acesso às portas 443 e 60443.
No ataque registrado contra os honeypots da Sekoia, a vulnerabilidade teria sido usada para entregar um implante anteriormente não documentado, um backdoor TLS que incorpora a capacidade de ouvir conexões de clientes entrantes e executar comandos.
O backdoor é iniciado por meio de um script shell chamado "q" que é recuperado via FTP e executado após uma exploração bem-sucedida da vulnerabilidade.
Ele vem com capacidades para:
- Limpar arquivos de log
- Encerrar processos suspeitos
- Baixar um payload malicioso chamado "t.tar" de 119.8.186[.]227
- Executar um binário chamado "cipher_log" extraído do arquivo
- Estabelecer persistência modificando um arquivo chamado "/etc/flash/etc/cipher.sh" para executar o binário "cipher_log" repetidamente
- Executar "cipher_log", o backdoor TLS
Apelidado de PolarEdge, o malware entra em um loop infinito, estabelecendo uma sessão TLS bem como gerando um processo filho para gerenciar solicitações do cliente e executar comandos usando exec_command.
"O binário informa ao servidor C2 que infectou com sucesso um novo dispositivo", disseram os pesquisadores da Sekoia, Jeremy Scion e Felix Aimé.
O malware transmite essa informação ao servidor de relatórios, permitindo que o atacante determine qual dispositivo foi infectado através do par IP/porta. Análises adicionais revelaram payloads PolarEdge semelhantes sendo usados para visar dispositivos ASUS, QNAP e Synology.
Todos os artefatos foram enviados para o VirusTotal por usuários localizados em Taiwan.
Os payloads são distribuídos via FTP usando o endereço IP 119.8.186[.]227, que pertence à Huawei Cloud.
No total, estima-se que o botnet tenha comprometido 2.017 endereços IP únicos ao redor do mundo, com a maioria das infecções detectadas nos Estados Unidos, Taiwan, Rússia, Índia, Brasil, Austrália e Argentina.
"A finalidade deste botnet ainda não foi determinada", observaram os pesquisadores.
Um objetivo do PolarEdge poderia ser controlar dispositivos de borda comprometidos, transformando-os em Caixas de Relé Operacionais para lançar ataques cibernéticos ofensivos. O botnet explora múltiplas vulnerabilidades em diferentes tipos de equipamentos, destacando sua capacidade de alvejar vários sistemas.
A complexidade dos payloads ainda sublinha a sofisticação da operação, sugerindo que está sendo conduzida por operadores habilidosos.
Isso indica que o PolarEdge é uma ameaça cibernética bem coordenada e substancial. A divulgação ocorre enquanto a SecurityScorecard revelou que um massivo botnet composto por mais de 130.000 dispositivos infectados está sendo armado para conduzir ataques de pulverização de senha em larga escala contra contas do Microsoft 365 (M365) explorando sign-ins não interativos com Basic Authentication.
Sign-ins não interativos são tipicamente usados para autenticação de serviço para serviço e protocolos legados como POP, IMAP e SMTP.
Eles não acionam autenticação de múltiplos fatores (MFA) em muitas configurações.
Por outro lado, o Basic Authentication permite que as credenciais sejam transmitidas em formato de texto simples.
A atividade, provavelmente obra de um grupo afiliado à China devido ao uso de infraestrutura vinculada ao CDS Global Cloud e UCLOUD HK, emprega credenciais roubadas de logs de infostealer em uma ampla gama de contas M365 para obter acesso não autorizado e capturar dados sensíveis.
"Essa técnica contorna proteções modernas de login e evita a aplicação de MFA, criando um ponto cego crítico para as equipes de segurança", disse a empresa.
Os atacantes aproveitam credenciais roubadas de logs de infostealer para direcionar sistematicamente contas em escala. Esses ataques são registrados em logs de sign-in não interativos, que são frequentemente negligenciados pelas equipes de segurança.
Os atacantes exploram essa lacuna para conduzir tentativas de pulverização de senha em alto volume sem serem detectados.
Essa tática foi observada em vários locatários do M365 globalmente, indicando uma ameaça ampla e contínua.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...