Rabattoffert för flera licenser
Hotdatabas Botnät PolarEdge Botnät

PolarEdge Botnät

Med Mezo år Botnät
Översätt till:

Säkerhetsforskare har nyligen utforskat mekanismerna bakom en routerfokuserad botnätsfamilj kallad PolarEdge. Dess kombination av TLS-baserad kommunikation, inbyggda konfigurationsknep och avsiktliga anti-analysåtgärder gör den till ett betydande hot mot nätverksapparater i hem och små och medelstora företag.

Tidslinje och upptäckt

Forskare dokumenterade PolarEdge först i februari 2025 och kopplade det till kampanjer som riktade sig mot routrar och NAS-enheter från flera leverantörer. I augusti 2025 hade analytiker kartlagt en stor del av botnätets infrastruktur och observerat egenskaper som överensstämde med ett ORB-liknande nätverk (Operational Relay Box). Retrospektiv telemetri tyder på att viss PolarEdge-aktivitet kan gå tillbaka så långt som till juni 2023.

Mål och initial åtkomst

Enheter från stora leverantörer, inklusive Cisco, ASUS, QNAP och Synology, har identifierats som måltavlor, vilket visar att både routrar och NAS-system i företags- och konsumentklass riskerar att utnyttjas.

I attackkedjorna i februari 2025 utnyttjade hotaktörer en känd Cisco-sårbarhet (CVE-2023-20118) för att hämta ett litet FTP-levererat skalskript med namnet 'q'. Skriptets roll var att hämta och starta PolarEdge ELF-bakdörren på den komprometterade värden.

Kärnimplantatdesign

PolarEdge är ett TLS-kompatibelt ELF-implantat som huvudsakligen:

  • Skickar ett värdfingeravtryck till en kommando- och kontrollserver (C2) och skickar sedan
  • Väntar på kommandon över en inbyggd TLS-server implementerad med mbedTLS v2.8.0.

Implantatets standardbeteende är att fungera som en TLS-server med ett anpassat binärt protokoll. Ett viktigt protokollfält är HasCommand: när detta fält är lika med ASCII-tecknet 1 läser implantatet kommandofältet, kör det angivna kommandot lokalt och returnerar den råa kommandoutdatan till C2.

Driftsätt

PolarEdge stöder ytterligare två lägen:

Återanslutningsläge : implantatet fungerar som en TLS-klient för att hämta filer från fjärrservrar.

Felsökningsläge : ett interaktivt läge som gör det möjligt för operatörer att ändra konfigurationsparametrar (till exempel serveradresser) i realtid.

Inbäddad konfiguration och obfuskation

Botnätet lagrar sin runtime-konfiguration inuti de sista 512 byten av ELF-bilden. Det blocket är obfuskerat med en XOR på en enda byte; forskarna rapporterar att XOR-nyckeln är 0x11, vilken måste tillämpas för att återställa konfigurationen.

Filoperationer

Efter körningen utför implantatet flyttningar och borttagningar av filsystem (exempel inkluderar flytt av binärfiler som /usr/bin/wget och /sbin/curl, och borttagning av filer som /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Den exakta operativa avsikten bakom dessa åtgärder är inte helt förstådd utifrån tillgängliga data.

Undviknings- och antianalystekniker

PolarEdge innehåller en rad sofistikerade försvarsmekanismer utformade för att undvika upptäckt och försvåra analys, vilket gör det svårare för säkerhetsforskare och automatiserade verktyg att identifiera dess beteende och analysera dess inre funktioner.

Den döljer detaljer om sin TLS-serverinitialisering och fingeravtrycksrutiner via obfuskation.

Under uppstart utför den processmaskering, där den slumpmässigt väljer ett processnamn från en inbyggd lista för att blandas med legitima systemtjänster.

Några av de möjliga namnen inkluderar:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • uppgradering
  • iapp

Motståndskraft utan klassisk uthållighet

PolarEdge verkar inte installera en traditionell persistensmekanism som överlever omstarter. Istället utför den ett runtime-trick: den forkar och den underordnade processen frågar var 30:e sekund för att kontrollera om förälderns katalog /proc/ fortfarande finns. Om den katalogen försvinner (vilket indikerar att förälderprocessen är borta) kör den underordnade processen ett shell-kommando för att starta om bakdörren, vilket effektivt ger opportunistisk runtime-återställning snarare än permanent starttidspersistens.

Defensiva slutsatser

Organisationer som hanterar routrar och NAS-enheter bör se till att de tillämpar leverantörsuppdateringar och åtgärder för CVE-2023-20118 och liknande sårbarheter vid fjärrkörning. De bör aktivt övervaka ovanlig TLS-aktivitet från nätverksenheter och utgående anslutningar till oväntade värdar. Det är lika viktigt att vara uppmärksam på tecken på processmaskering och eventuella obehöriga ändringar eller borttagningar av nätverksbinärfiler och webbskript.

 

Trendigt

American Express - Inloggningsförsök blockerades, bluff

Nätfiske, Spam
Cyberbrottslingar utnyttjar ofta förtroligheten hos betrodda varumärken för att locka intet ont anande användare att avslöja känslig information. Bedrägeriet "American Express - Inloggningsförsök blockerades" är ett utmärkt exempel på denna taktik. Dessa e-postmeddelanden utger sig för att vara säkerhetsvarningar från American Express, hävdar att ett misstänkt inloggningsförsök blockerades och...

Mest sedda

Läser in...