Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Botnetai „PolarEdge“ botnetas

„PolarEdge“ botnetas

Autorius Mezo, Botnetai
Versti į:

Saugumo tyrėjai neseniai ištyrė maršrutizatoriams skirtos botnetų šeimos, pavadintos „PolarEdge“, mechaniką. TLS pagrįsto ryšio, įterptųjų konfigūravimo gudrybių ir sąmoningų antianalizės priemonių derinys kelia didelę grėsmę namų ir MVĮ tinklo įrenginiams.

Chronologija ir atradimas

Tyrėjai pirmą kartą „PolarEdge“ užfiksavo 2025 m. vasarį, susiedami jį su kampanijomis, kurios buvo nukreiptos į kelių tiekėjų maršrutizatorius ir NAS įrenginius. Iki 2025 m. rugpjūčio mėn. analitikai buvo sukūrę didžiąją dalį botneto infrastruktūros ir pastebėjo požymių, atitinkančių operacinės relės dėžutės (ORB) stiliaus tinklą. Retrospektyvi telemetrija rodo, kad dalis „PolarEdge“ veiklos gali būti vykdoma dar nuo 2023 m. birželio mėn.

Tikslai ir pradinė prieiga

Didžiųjų tiekėjų, įskaitant „Cisco“, „ASUS“, „QNAP“ ir „Synology“, įrenginiai buvo identifikuoti kaip taikiniai, o tai rodo, kad tiek įmonių, tiek vartotojų lygio maršrutizatoriai ir NAS sistemos yra pažeidžiamos atakų.

2025 m. vasario mėn. atakų grandinėse grėsmės veikėjai pasinaudojo žinoma „Cisco“ pažeidžiamumu (CVE-2023-20118), kad gautų nedidelį FTP ryšiu atsiųstą scenarijų pavadinimu „q“. Šio scenarijaus vaidmuo buvo gauti ir paleisti „PolarEdge ELF“ galines duris pažeistame pagrindiniame kompiuteryje.

Šerdies implanto dizainas

„PolarEdge“ yra TLS palaikantis ELF implantas, kuris pirmiausia:

  • Nusiunčia pagrindinio kompiuterio piršto atspaudą į komandų ir valdymo (C2) serverį, tada
  • Laukia komandų per integruotą TLS serverį, įdiegtą naudojant mbedTLS v2.8.0.

Pagal numatytuosius nustatymus implantas veikia kaip TLS serveris, naudodamas pasirinktinį dvejetainį protokolą. Vienas pagrindinių protokolo laukų yra „HasCommand“: kai šio lauko reikšmė lygi ASCII simboliui 1, implantas nuskaito „Command“ lauką, vietoje vykdo nurodytą komandą ir grąžina neapdorotą komandos išvestį į C2.

Veikimo režimai

„PolarEdge“ palaiko dar du režimus:

Atgalinio prisijungimo režimas : implantas veikia kaip TLS klientas, norėdamas išgauti failus iš nuotolinių serverių.

Derinimo režimas : interaktyvus režimas, leidžiantis operatoriams keisti konfigūracijos parametrus (pvz., serverių adresus) operatyviai.

Įterptoji konfigūracija ir užmaskavimas

Botnetas saugo savo vykdymo laiko konfigūraciją paskutiniuose 512 ELF atvaizdo baitų. Šis blokas užmaskuojamas vieno baito XOR; tyrėjai praneša, kad XOR raktas yra 0x11, kurį reikia pritaikyti norint atkurti konfigūraciją.

Failų operacijos

Po vykdymo implantas atlieka failų sistemos perkėlimus ir pašalinimus (pavyzdžiai: dvejetainių failų, tokių kaip /usr/bin/wget ir /sbin/curl, perkėlimas ir failų, tokių kaip /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak, ištrynimas). Tikslus šių veiksmų tikslas nėra iki galo suprantamas iš turimų duomenų.

Vengimo ir antianalizės metodai

„PolarEdge“ apima įvairius sudėtingus gynybos mechanizmus, skirtus išvengti aptikimo ir trukdyti analizei, todėl saugumo tyrėjams ir automatizuotoms priemonėms sunkiau nustatyti jos elgesį ir išanalizuoti vidinius mechanizmus.

Jis slepia savo TLS serverio inicijavimo ir pirštų atspaudų rašymo procedūrų informaciją naudodamas užmaskavimą.

Paleidimo metu jis atlieka procesų maskavimą, atsitiktinai pasirinkdamas proceso pavadinimą iš integruoto sąrašo, kad susilietų su teisėtomis sistemos paslaugomis.

Kai kurie galimi pavadinimai:

  • igmpproxy
  • WSCD
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Atsparumas be klasikinio atkaklumo

„PolarEdge“ neįdiegia tradicinio išsaugojimo mechanizmo, kuris išliktų ir po perkrovimo. Vietoj to, jis atlieka vykdymo laiko triuką: jis sukuria šaką, o antrinis procesas kas 30 sekundžių atlieka apklausą, kad patikrintų, ar pirminio proceso /proc/ katalogas vis dar egzistuoja. Jei tas katalogas dingsta (tai rodo, kad pirminio proceso nebėra), antrinis procesas vykdo apvalkalo komandą, kad iš naujo paleistų galines duris, efektyviai užtikrindamas oportunistinį vykdymo laiko atkūrimą, o ne nuolatinį išsaugojimą paleidimo metu.

Gynybinės išvados

Organizacijos, valdančios maršrutizatorius ir NAS įrenginius, turėtų užtikrinti, kad jos taiko tiekėjų atnaujinimus ir priemones, skirtas CVE-2023-20118 ir panašiems nuotolinio vykdymo pažeidžiamumams apsaugoti. Jos turėtų aktyviai stebėti neįprastą TLS veiklą iš tinklo įrenginių ir išeinančių ryšių su netikėtais pagrindiniais kompiuteriais. Taip pat svarbu stebėti procesų maskavimo požymius ir bet kokius neteisėtus tinklo dvejetainių failų ir žiniatinklio scenarijų pakeitimus ar ištrynimus.


Tendencijos

„American Express“ – prisijungimo bandymas buvo...

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai dažnai išnaudoja patikimų prekių ženklų žinomumą, kad priviliotų nieko neįtariančius vartotojus atskleisti neskelbtiną informaciją. Sukčiavimas „American Express – prisijungimo bandymas buvo užblokuotas“ yra puikus šios taktikos pavyzdys. Šie el. laiškai apsimetinėja „American Express“ saugumo įspėjimais, teigdami, kad įtartinas prisijungimo bandymas buvo...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,536
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...