破解黑暗網路:思科漏洞和殭屍網路背後的陰謀

Sekoia's Threat Detection & Research (TDR) 團隊發現了一個名為 PolarEdge 的新殭屍網路,PolarEdge 利用思科小型企業路由器中的 CVE-2023-20118 漏洞,並攻擊華碩、QNAP 和 Synology 設備。該網路至少自 2023 年底以來一直活躍。此殭屍網路使用 TLS 後門(透過使用 Mbed TLS 函式庫來識別)來控制受感染的邊緣設備(Edge device)。分析顯示,全球有超過 2,000 項資產和相關基礎設施受到感染,包括傳遞(Delivery)和報表(Reporting)伺服器。團隊推測,PolarEdge 可用於攻擊性網路操作,透過使用受感染的裝置作為操作Relay Box來掩蓋惡意活動並隱藏攻擊者的位置。殭屍網路的複雜性和廣泛的目標性凸顯了它是一種重大的網路威脅。

破解黑暗網路:思科漏洞和殭屍網路背後的陰謀| 資訊安全新聞

摘要報告

Discovery Sekoia's Threat Detection & Research (TDR) 團隊於 2025 年 1 月 22 日透過其蜜罐(Honeypot)發現了可疑的網路活動,這表明有人試圖利用思科小型企業路由器中的 CVE-2023-20118 漏洞。進一步分析發現了針對其他裝置的 TLS 後門植入和相關Payload。這個殭屍網路至少從 2023 年底開始活躍。

漏洞

殭屍網路利用 CVE-2023-20118,這是某些思科小型企業路由器的基於 Web 的管理介面中的漏洞。該漏洞允許未經身份驗證的攻擊者透過發送精心設計的 HTTP 請求來執行遠端命令 (RCE)。此漏洞是由於 /cgi-bin/config_mirror.exp 二進位檔案中的輸入驗證不當造成的,特別是在 delete_cert 函數中,從而允許命令注入。

感染過程

  • Webshel​​l 部署:攻擊者最初嘗試利用漏洞部署 Webshel​​l,使用 IP 位址 45.77.152[.]227。此 Webshel​​l 包含一個需要透過 PASSHASH 參數輸入金鑰的驗證機制。
  • TLS 後門安裝:2025 年 2 月 10 日觀察到協同攻擊,攻擊利用指令從多個 IP 位址發送。這次攻擊涉及透過 FTP 擷取和執行名為 q 的 shell script,該script下載、安裝並執行 TLS 後門 。
  • Payload分析:q script執行多項操作,包括清理日誌檔案、終止可疑程序、下載惡意Payload (t.tar) 以及透過修改系統檔案建立持久性。主要Payload cipher_log 是針對 MIPS64 架構編譯的 ELF 二進位文件,用於建立 TLS 後門。它設定防火牆規則以允許連接到 TLS 後門使用的連接埠。後門監聽傳入的客戶端連接,建立TLS session ,並在身份驗證成功後執行命令。
  • PolarEdge TLS 後門: TLS 後門使用具有 PolarSSL 模式的憑證。惡意軟體向 C2 伺服器報告新的感染,並發送設備訊息,例如 IP 位址、版本、模組和 MAC 位址。這些資訊被傳輸到報告伺服器,使攻擊者能夠識別受感染的設備。

  • 目標設備 :除了思科路由器之外,殭屍網路也針對華碩、QNAP 和 Synology 設備。在 VirusTotal 上發現了這些設備的Payload。

    • Asus:Asus Payload(名為 sshd_sftp)與 hxxps://asustordownload[.]com:45674 進行通訊。
    • QNAP:QNAP Payload(名為 QTS.install.ssl)與 hxxps://siotherlentsearsitech[.]shop:58425 通信,後者解析為與 Cisco Payload相同的 IP 位址。
    • Synology:兩個 Synology Payload(名為 hdparmd)與不同的 IP 位址和 URL 進行通信,其中包括 hxxps://ssofhoseuegsgrfnu[.]ru/inet_pton,Sekoia 已將其封存。
  • 基礎設施:攻擊者使用新加坡華為雲端的 IP 位址 119.8.186[.]227 透過 FTP 散布 Payload。此 IP 位址與 2024 年 7 月 19 日註冊的多個網域相關聯:
    longlog[.]cc
    landim[.]cc
    hitchil[.]cc
    logchim[.]cc
    報告伺服器使用 IP 位址 195.123.212[.]54,位於拉脫維亞。此伺服器也連結到多個網域:
    aipricadd[.]top
    firebasesafer[.]top
    largeroofs[.]top

受損資產

使用與 PolarSSL Payload關聯的憑證進行的搜尋確定了超過 2,000 個唯一 IP 位址,表明了殭屍網路的規模。該殭屍網路分佈在全球,在美國、亞洲和南美洲尤為活躍。

可能的目標

殭屍網路的確切目的尚不確定,但有一種假設是,它使用受感染的邊緣裝置作為發動網路攻擊的Operational Relay Boxe (ORB)。

結論

PolarEdge 殭屍網路至少自 2023 年底以來一直活躍,針對各種設備並與重要基礎設施相關。這個殭屍網路利用不同類型裝置上的多個漏洞,凸顯了其針對各種系統的能力。Payload的複雜性進一步凸顯了此次行動的複雜程度,表明該行動是由熟練的操作員進行的,並表明 PolarEdge 是一種協調良好的重大網路威脅。

邊緣設備仍然是許多Threat actor(包括 PolarEdge 殭屍網路營運商)營運基礎設施中的關鍵組成部分。這些設備之所以經常成為攻擊目標,是因為它們的可存取性、漏洞以及在提供支援匿名和分散式攻擊的出口節點方面所起的作用。由於大量受感染的設備分佈在不同地區,Malicious actor 可以隱藏其活動並以較低的偵測風險進行攻擊。

PolarEdge 的主要目的尚不清楚,但一個工作假設表明,它可能使用受感染的設備作為Operational Relay Box(ORB) 來促進攻擊性網路行動。進一步分析Payload並密切監視此威脅將有助於更好地了解其策略、技術和整體目標。