Sekoia 公司的威胁检测与研究(TDR)团队发现了 PolarEdge僵尸网络,这是一场复杂的基于物联网的恶意软件攻击活动,目标是存在漏洞的思科小型企业路由器和其他边缘设备。该僵尸网络已在全球范围内感染了超过 2000 台设备,并且至少从 2023 年末就开始活跃了。
此次攻击活动利用了 CVE-2023-20118 漏洞,这是一个影响多种思科小型企业路由器型号的远程代码执行(RCE)漏洞。
报告指出:“2025 年 1 月 22 日,我们通过蜜罐观察到了可疑的网络痕迹。分析表明,有人试图利用 CVE-2023-20118 漏洞。通过这一漏洞利用,攻击者执行了一条远程命令(RCE),在目标路由器上部署了一个网页后门。”
该漏洞源于 /cgi-bin/config_mirror.exp 中不当的输入验证,这使得未经身份验证的攻击者能够通过构造恶意的 HTTP 请求来远程执行命令。
在 2025 年 1 月 22 日至 31 日期间,攻击者向存在漏洞的路由器部署了一个经过 Base64 编码且采用 gzip 压缩的网页后门。报告解释称:“为了实现持久控制,攻击者用他们的网页后门替换了路由器的身份验证 CGI 脚本(/usr/local/EasyAccess/www/cgi-bin/userLogin.cgi)。” 这种方法确保攻击者能够持续控制受感染的路由器,同时躲避检测。
到 2025 年 2 月 10 日,PolarEdge 的操控者改进了他们的攻击策略,用一个基于传输层安全(TLS)的后门植入程序替换了网页后门,这标志着其向大规模僵尸网络基础设施的转变。“对这些有效载荷的研究使得我们发现了一个由全球超过 2000 台受感染设备以及攻击者的基础设施组成的僵尸网络。”
PolarEdge 采用了多种躲避检测和实现持久控制的技术,包括:
1.隐藏自身存在:删除日志以及自身的执行痕迹。
2.清除竞争的恶意软件:终止可疑进程。
3.利用加密的命令通道:使用 Mbed TLS(前身为 PolarSSL)来保护命令与控制(C2)通信的安全。
4.动态更新攻击基础设施:从硬编码的命令与控制(C2)服务器转变为使用域名生成算法(DGA)。
威胁检测与研究(TDR)团队发现多个地区都有设备遭到入侵,其中美国的受感染设备数量最多(有 540 个 IP 地址),其次是中国台湾地区和南美洲。该僵尸网络能够针对多种架构(思科、华硕、威联通和群晖)的设备,这表明其攻击活动仍在不断扩大。
报告总结道:“‘PolarEdge 僵尸网络至少从 2023 年末就开始活跃,目标是广泛的设备,并且与一个庞大的基础设施相关联。”
发表评论
您还未登录,请先登录。
登录