Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mạng botnet Mạng bot PolarEdge

Mạng bot PolarEdge

Đến năm Mezo năm Mạng botnet
Dịch sang:

Các nhà nghiên cứu bảo mật gần đây đã khám phá cơ chế hoạt động của một họ botnet tập trung vào bộ định tuyến có tên gọi PolarEdge. Sự kết hợp giữa giao tiếp dựa trên TLS, các thủ thuật cấu hình nhúng và các biện pháp chống phân tích có chủ đích khiến nó trở thành mối đe dọa đáng chú ý đối với các thiết bị mạng gia đình và doanh nghiệp vừa và nhỏ (SMB).

Dòng thời gian và khám phá

Các nhà nghiên cứu lần đầu tiên ghi nhận PolarEdge vào tháng 2 năm 2025, liên kết nó với các chiến dịch nhắm mục tiêu vào bộ định tuyến và thiết bị NAS từ nhiều nhà cung cấp. Đến tháng 8 năm 2025, các nhà phân tích đã lập bản đồ phần lớn cơ sở hạ tầng của botnet và quan sát thấy các đặc điểm phù hợp với mạng kiểu Hộp Chuyển tiếp Hoạt động (ORB). Dữ liệu đo từ xa hồi cứu cho thấy một số hoạt động của PolarEdge có thể đã bắt đầu từ tháng 6 năm 2023.

Mục tiêu và quyền truy cập ban đầu

Các thiết bị từ các nhà cung cấp lớn, bao gồm Cisco, ASUS, QNAP và Synology, đã được xác định là mục tiêu, cho thấy cả bộ định tuyến cấp doanh nghiệp và cấp người tiêu dùng cũng như hệ thống NAS đều có nguy cơ bị khai thác.

Trong chuỗi tấn công tháng 2 năm 2025, kẻ tấn công đã khai thác lỗ hổng bảo mật đã biết của Cisco (CVE-2023-20118) để lấy một tập lệnh shell nhỏ được phân phối qua FTP có tên là 'q'. Vai trò của tập lệnh này là truy xuất và khởi chạy backdoor ELF PolarEdge trên máy chủ bị xâm nhập.

Thiết kế cấy ghép lõi

PolarEdge là thiết bị cấy ghép ELF có khả năng TLS, chủ yếu:

  • Gửi dấu vân tay máy chủ đến máy chủ chỉ huy và kiểm soát (C2), sau đó
  • Chờ lệnh qua máy chủ TLS tích hợp được triển khai bằng mbedTLS v2.8.0.

Hành vi mặc định của implant là hoạt động như một máy chủ TLS sử dụng giao thức nhị phân tùy chỉnh. Một trường giao thức quan trọng là HasCommand: khi trường này bằng ký tự ASCII 1, implant sẽ đọc trường Command, thực thi lệnh được chỉ định cục bộ và trả về đầu ra lệnh thô cho C2.

Chế độ hoạt động

PolarEdge hỗ trợ thêm hai chế độ:

Chế độ kết nối lại : phần mềm cấy ghép hoạt động như một máy khách TLS để kéo tệp từ máy chủ từ xa.

Chế độ gỡ lỗi : chế độ tương tác cho phép người vận hành thay đổi các thông số cấu hình (ví dụ: địa chỉ máy chủ) ngay lập tức.

Cấu hình nhúng và làm tối nghĩa

Botnet lưu trữ cấu hình thời gian chạy của nó bên trong 512 byte cuối cùng của ảnh ELF. Khối này được mã hóa bằng một phép toán XOR một byte; các nhà nghiên cứu báo cáo rằng khóa XOR là 0x11, phải được áp dụng để khôi phục cấu hình.

Thao tác tập tin

Sau khi thực thi, mã độc sẽ thực hiện di chuyển và xóa hệ thống tệp (ví dụ bao gồm di chuyển các tệp nhị phân như /usr/bin/wget và /sbin/curl, và xóa các tệp như /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Mục đích hoạt động chính xác đằng sau những hành động này vẫn chưa được hiểu đầy đủ từ dữ liệu hiện có.

Kỹ thuật né tránh và chống phân tích

PolarEdge kết hợp một loạt các cơ chế phòng thủ tinh vi được thiết kế để tránh bị phát hiện và cản trở việc phân tích, khiến các nhà nghiên cứu bảo mật và các công cụ tự động khó xác định hành vi và phân tích hoạt động bên trong của nó hơn.

Nó ẩn các chi tiết về quá trình khởi tạo máy chủ TLS và các quy trình lấy dấu vân tay thông qua phương pháp che giấu.

Trong quá trình khởi động, nó sẽ thực hiện ngụy trang quy trình, chọn ngẫu nhiên tên quy trình từ danh sách tích hợp để hòa nhập với các dịch vụ hệ thống hợp pháp.

Một số tên có thể bao gồm:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • ứng dụng iapp

Khả năng phục hồi mà không cần sự kiên trì cổ điển

PolarEdge dường như không cài đặt cơ chế duy trì truyền thống có thể tồn tại sau khi khởi động lại. Thay vào đó, nó thực hiện một thủ thuật thời gian chạy: phân nhánh và tiến trình con sẽ thăm dò cứ sau 30 giây để kiểm tra xem thư mục /proc/ của tiến trình cha có còn tồn tại hay không. Nếu thư mục đó biến mất (cho biết tiến trình cha đã biến mất), tiến trình con sẽ chạy lệnh shell để khởi chạy lại cửa hậu, thực sự cung cấp khả năng phục hồi thời gian chạy thay vì duy trì vĩnh viễn khi khởi động.

Những pha phòng thủ

Các tổ chức quản lý bộ định tuyến và thiết bị NAS nên đảm bảo áp dụng các bản cập nhật và biện pháp giảm thiểu của nhà cung cấp cho lỗ hổng CVE-2023-20118 và các lỗ hổng thực thi từ xa tương tự. Họ nên chủ động theo dõi hoạt động TLS bất thường từ các thiết bị mạng và kết nối ra đến các máy chủ không mong muốn. Việc theo dõi các dấu hiệu giả mạo quy trình và bất kỳ thay đổi hoặc xóa trái phép nào đối với các tệp nhị phân mạng và tập lệnh hướng đến web cũng rất quan trọng.

 

xu hướng

American Express - Lừa đảo đăng nhập bị chặn

Lừa đảo, Thư rác
Tội phạm mạng thường lợi dụng sự quen thuộc của các thương hiệu uy tín để dụ dỗ người dùng nhẹ dạ tiết lộ thông tin nhạy cảm. Vụ lừa đảo "American Express - Nỗ lực Đăng nhập Bị Chặn" là một ví dụ điển hình cho chiến thuật này. Những email này giả mạo cảnh báo bảo mật từ American Express, thông báo rằng một nỗ lực đăng nhập đáng ngờ đã bị chặn và thúc giục người nhận hành động ngay lập tức. Điều...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,536
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...