La botnet PolarEdge explota los fallos de Cisco y otros para secuestrar dispositivos ASUS, QNAP y Synology

Se ha observado una nueva campaña de malware dirigida a dispositivos periféricos de Cisco, ASUS, QNAP y Synology para atraerlos a una botnet llamada PolarEdge desde al menos finales de 2023.

La empresa francesa de ciberseguridad Sekoia dijo que observó que actores de amenazas desconocidos aprovechaban CVE-2023-20118 (puntaje CVSS: 6.5), una falla de seguridad crítica que afecta a los enrutadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 y que podría provocar la ejecución de comandos arbitrarios en dispositivos susceptibles.

La vulnerabilidad sigue sin parchearse debido a que los enrutadores han alcanzado el estado de fin de vida útil (EoL). Como mitigación, Cisco recomendó a principios de 2023 que se mitigara la falla deshabilitando la administración remota y bloqueando el acceso a los puertos 443 y 60443.

En el ataque registrado contra los honeypots de Sekoia, se dice que la vulnerabilidad se utilizó para entregar un implante previamente no documentado, una puerta trasera TLS que incorpora la capacidad de escuchar conexiones entrantes de clientes y ejecutar comandos.

La puerta trasera se ejecuta mediante un script de shell llamado «q» que se recupera a través de FTP y se ejecuta después de una explotación exitosa de la vulnerabilidad. Viene con capacidades para:

Limpiar archivos de registro
Terminar procesos sospechosos
Descargue una carga maliciosa llamada «t.tar» desde 119.8.186[.]227
Ejecutar un binario llamado «cipher_log» extraído del archivo
Establezca la persistencia modificando un archivo llamado «/etc/flash/etc/cipher.sh» para ejecutar el binario «cipher_log» repetidamente
Ejecute «cipher_log», la puerta trasera TLS

Con nombre en código PolarEdge, el malware entra en un bucle infinito, establece una sesión TLS y genera un proceso secundario para administrar las solicitudes de los clientes y ejecutar comandos mediante exec_command.

«El archivo binario informa al servidor C2 de que ha infectado con éxito un nuevo dispositivo», afirmaron los investigadores de Sekoia Jeremy Scion y Felix Aimé. «El malware transmite esta información al servidor de informes, lo que permite al atacante determinar qué dispositivo se ha infectado a través de la asociación entre la dirección IP y el puerto».

Un análisis más detallado ha descubierto que se utilizan cargas útiles de PolarEdge similares para atacar dispositivos ASUS, QNAP y Synology. Todos los artefactos fueron subidos a VirusTotal por usuarios ubicados en Taiwán. Las cargas útiles se distribuyen a través de FTP utilizando la dirección IP 119.8.186[.]227, que pertenece a Huawei Cloud.

En total, se estima que la botnet ha comprometido 2.017 direcciones IP únicas en todo el mundo, y la mayoría de las infecciones se detectaron en Estados Unidos, Taiwán, Rusia, India, Brasil, Australia y Argentina.

«El propósito de esta botnet aún no ha sido determinado», señalaron los investigadores. «Un objetivo de PolarEdge podría ser controlar los dispositivos periféricos comprometidos, transformándolos en cajas de retransmisión operativas para lanzar ciberataques ofensivos».

«La botnet explota múltiples vulnerabilidades en distintos tipos de equipos, lo que pone de relieve su capacidad para atacar varios sistemas. La complejidad de las cargas útiles subraya aún más la sofisticación de la operación, lo que sugiere que está siendo realizada por operadores expertos. Esto indica que PolarEdge es una amenaza cibernética importante y bien coordinada».

La revelación se produce cuando SecurityScorecard reveló que una red de bots masiva que comprende más de 130.000 dispositivos infectados está siendo utilizada para realizar ataques de rociado de contraseñas a gran escala contra cuentas de Microsoft 365 (M365) explotando inicios de sesión no interactivos con autenticación básica.

Los inicios de sesión no interactivos se utilizan normalmente para la autenticación entre servicios y protocolos heredados como POP, IMAP y SMTP. No activan la autenticación multifactor (MFA) en muchas configuraciones. La autenticación básica, por otro lado, permite que las credenciales se transmitan en formato de texto sin formato.

La actividad, probablemente obra de un grupo afiliado a China debido al uso de infraestructura vinculada a CDS Global Cloud y UCLOUD HK, emplea credenciales robadas de registros de infostealers en una amplia gama de cuentas de M365 para obtener acceso no autorizado y apoderarse de datos confidenciales.

«Esta técnica elude las protecciones de inicio de sesión modernas y evade la aplicación de la autenticación multifactor, lo que crea un punto ciego crítico para los equipos de seguridad», afirmó la empresa . «Los atacantes aprovechan las credenciales robadas de los registros de los ladrones de información para atacar sistemáticamente cuentas a gran escala».

«Estos ataques se registran en registros de inicio de sesión no interactivos, que los equipos de seguridad suelen pasar por alto. Los atacantes aprovechan esta brecha para realizar intentos de rociado de contraseñas en gran volumen sin ser detectados. Esta táctica se ha observado en varios inquilinos de M365 en todo el mundo, lo que indica una amenaza generalizada y continua».

Fuente y redacción: thehackernews.com

Reconocido banco de Colombia bajo ataque de Phishing

Mejora de la seguridad TLS: Google agrega cifrado resistente a Quantum en Chrome 116

Ciberdelincuentes explotan vulnerabilidad de Twitter para exponer 5,4 millones de cuentas