Cisco, ASUS и QNAP в заложниках: ботнет PolarEdge захватывает тысячи устройств

Новая кампания вредоносного ПО PolarEdge активно компрометирует пограничные устройства Cisco, ASUS, QNAP и Synology с конца 2023 года, превращая их в элементы ботнета. Обнаруженная компанией Sekoia атака использует уязвимость CVE-2023-20118 в маршрутизаторах Cisco Small Business серий RV, позволяя злоумышленникам выполнять произвольные команды на устройствах, которые уже не получают обновлений из-за статуса End-of-Life.

Cisco рекомендовала отключить удалённое управление и заблокировать доступ к портам 443 и 60443, однако многие устройства до сих пор остаются уязвимыми. В ходе атак, зафиксированных Sekoia, хакеры использовали уязвимость для загрузки нового бэкдора — TLS, способного принимать входящие соединения и исполнять удалённые команды.

Вредонос запускается через скрипт «q», загружаемый по FTP, после чего очищает логи, завершает подозрительные процессы, загружает архив «t.tar» с сервера злоумышленников и извлекает бинарный файл «cipher_log», который внедряется в систему, прописываясь в автозагрузку.

Ботнет PolarEdge действует по классической схеме: после заражения устройство устанавливает TLS-сессию, создаёт дочерний процесс для обработки клиентских запросов и исполняет команды. При этом информация об инфицированном узле отправляется на C2-сервер, позволяя операторам отслеживать заражённые устройства по IP-адресу и порту.

Помимо маршрутизаторов Cisco, вредонос атакует устройства ASUS, QNAP и Synology. Загруженные в VirusTotal артефакты указывают на то, что большинство атакованных устройств находится в Тайване. Вредоносный код распространяется через сервер Huawei Cloud (IP 119.8.186[.]227), что указывает на высокую организованность кампании.

По оценке экспертов, ботнет заразил уже свыше 2000 устройств по всему миру. Больше всего заражений зафиксировано в США, Тайване, России, Индии, Бразилии, Австралии и Аргентине. Точные цели атакующих пока не установлены, но анализ функционала указывает на возможное использование ботнета для проксирования вредоносного трафика или запуска DDoS-атак.

Ранее компания SecurityScorecard сообщила об ещё одной крупной ботнет-сети, состоящей из более чем 130 000 заражённых устройств, которая используется для атак на учётные записи Microsoft 365. Злоумышленники применяют атаку типа Password Spraying, эксплуатируя базовую аутентификацию и механизмы неинтерактивного входа, которые часто обходят двухфакторную аутентификацию.

Хакеры используют украденные данные из логов инфостилеров, а затем запускают масштабные атаки на облачные сервисы, стремясь получить несанкционированный доступ к конфиденциальной информации. Эксперты предупреждают, что этот метод остаётся крайне опасным, так как большинство компаний не отслеживает логи неинтерактивных входов, что позволяет атакующим проводить свои атаки незаметно.

Растущее количество различных ботнетов и сложности атак указывают на постоянное совершенствование уровня злоумышленников. PolarEdge и прочие связанные с ним угрозы подчёркивают необходимость регулярного обновления оборудования, мониторинга подозрительного трафика и использования надёжных методов защиты, включая отключение уязвимых сервисов.