Botnet PolarEdge explora falhas em dispositivos da Cisco, ASUS, QNAP e Synology

Uma nova campanha de malware está explorando vulnerabilidades em dispositivos de borda da Cisco, ASUS, QNAP e Synology para comprometê-los e transformá-los em uma botnet chamada PolarEdge. Desde pelo menos o final de 2023, hackers vêm utilizando essa técnica para infectar dispositivos e controlá-los remotamente.

A empresa francesa de cibersegurança Sekoia identificou que os invasores exploram a vulnerabilidade CVE-2023-20118 (pontuação CVSS: 6.5), um erro crítico de segurança presente em roteadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325. Essa falha permite a execução arbitrária de comandos em dispositivos vulneráveis, que não receberam correção da Cisco devido ao status de fim de vida útil (EoL) desses equipamentos. A empresa recomendou, em 2023, mitigações como desativar o gerenciamento remoto e bloquear o acesso às portas 443 e 60443.

Em um ataque registrado pelos honeypots da Sekoia, essa vulnerabilidade foi usada para injetar um implant nunca antes documentado, uma backdoor TLS capaz de escutar conexões de clientes e executar comandos remotos. O ataque ocorre por meio de um script shell chamado "q", baixado via FTP e executado após a exploração da falha. Entre as ações realizadas pelo malware estão:

• Remover logs para ocultar rastros

• Encerrar processos suspeitos que possam interferir na infecção

• Baixar e executar um arquivo malicioso ("t.tar")

• Criar persistência, modificando um arquivo para executar o malware continuamente

• Ativar a backdoor TLS, permitindo controle remoto sobre o dispositivo

Batizado de PolarEdge, o malware entra em um loop infinito, abrindo uma sessão TLS e gerenciando conexões de clientes para executar comandos no dispositivo infectado. Durante a execução, o malware envia informações ao servidor de comando e controle (C2) para informar os hackers sobre o sucesso da infecção, transmitindo IP e portas do dispositivo comprometido.

Análises adicionais mostraram que dispositivos da ASUS, QNAP e Synology também foram alvos do PolarEdge. Os artefatos associados ao malware foram enviados ao VirusTotal por usuários de Taiwan, e os arquivos maliciosos foram distribuídos via FTP a partir do IP 119.8.186[.]227, pertencente à Huawei Cloud. No total, a botnet já comprometeu 2.017 dispositivos únicos ao redor do mundo, com a maioria das infecções registradas nos Estados Unidos, Taiwan, Rússia, Índia, Brasil, Austrália e Argentina.

Os pesquisadores ainda não determinaram o objetivo final do PolarEdge, mas suspeitam que os hackers estejam usando os dispositivos infectados como Relay Boxes para lançar ataques cibernéticos ofensivos. Além disso, a botnet demonstra capacidade de explorar múltiplas vulnerabilidades em diferentes equipamentos, sugerindo que operações sofisticadas e bem coordenadas estão por trás da ameaça.

A descoberta ocorre no momento em que a SecurityScorecard revelou uma botnet ainda maior, composta por mais de 130.000 dispositivos infectados, sendo utilizada para realizar ataques massivos de pulverização de senhas contra contas do Microsoft 365 (M365). Os hackers exploram autenticações não interativas, que são normalmente usadas para comunicação entre serviços e protocolos legados (POP, IMAP, SMTP). Esse método contorna a autenticação multifator (MFA) em muitas configurações, criando um ponto cego crítico para equipes de segurança.

Acredita-se que esse ataque esteja vinculado a um grupo hacker chinês, devido ao uso de infraestrutura associada à CDS Global Cloud e UCLOUD HK. Os invasores utilizam credenciais roubadas de logs de infostealers para obter acesso não autorizado a contas do M365 e roubar dados sensíveis. Como esse ataque é registrado em logs de autenticações não interativas, que frequentemente são ignorados pelas equipes de segurança, os hackers conseguem realizar tentativas massivas de pulverização de senhas sem serem detectados.

Especialistas alertam que a complexidade do PolarEdge e sua capacidade de se espalhar globalmente representam um risco significativo. Equipes de segurança devem ficar atentas a padrões anômalos de tráfego e reforçar a proteção de dispositivos vulneráveis.

Via - THN