27 février 2025Ravie LakshmananVulnérabilité / sécurité du réseau

Une nouvelle campagne de logiciels malveillants a été observée ciblant les dispositifs Edge de Cisco, Asus, QNAP et Synology pour les enfiler dans un botnet nommé Polarege depuis au moins la fin de 2023.

Compagnie de cybersécurité française Sekoia dit il a observé les acteurs de la menace inconnus tirant parti CVE-2023-20118 (Score CVSS: 6,5), une faille de sécurité critique impactant Cisco Small Business RV016, RV042, RV042G, RV082, RV320 et RV325 qui pourraient entraîner une exécution de commande arbitraire sur des appareils susceptibles.

La vulnérabilité reste non corrigée en raison des routeurs atteignant le statut de fin de vie (EOL). En tant qu’atténuations, Cisco a recommandé au début de 2023 que la faille soit atténuée en désactivant la gestion à distance et en bloquant l’accès aux ports 443 et 60443.

Dans l’attaque enregistrée contre les pots de miel de Sekoia, la vulnérabilité aurait été utilisée pour livrer un implant préalablement sans papiers, une porte dérobée TLS qui incorpore la possibilité d’écouter les connexions client entrantes et d’exécuter des commandes.

Cybersécurité

La porte dérobée est lancée au moyen d’un script shell appelé “Q” qui est récupéré via FTP et exécuté après une exploitation réussie de la vulnérabilité. Il est livré avec des capacités à –

  • Nettoyer les fichiers journaux
  • Terminer les processus suspects
  • Téléchargez une charge utile malveillante nommée “T.Tar” à partir de 119.8.186[.]227
  • Exécuter un binaire nommé “cipher_log” extrait de l’archive
  • Établir la persistance en modifiant un fichier nommé “/etc/flash/etc/cipher.sh” pour exécuter le binaire “cipher_log” à plusieurs reprises
  • Exécuter “Cipher_log”, la porte dérobée TLS

CodeDamed Polaredge, le malware entre dans une boucle infinie, établissant une session TLS ainsi que pour engener un processus enfant pour gérer les demandes des clients et exécuter des commandes à l’aide de l’exec_command.

“Le binaire informe le serveur C2 qu’il a réussi à infecter un nouvel appareil”, a déclaré les chercheurs de Sekoia, Jeremy Scion et Felix Aimé. “Le malware transmet ces informations sur le serveur de rapports, permettant à l’attaquant de déterminer quel périphérique a été infecté via l’appariement d’adresse / port IP.”

Une analyse plus approfondie a révélé des charges utiles Polaredge similaires utilisées pour cibler les dispositifs ASUS, QNAP et Synology. Tous les artefacts ont été téléchargés sur Virustotal par des utilisateurs situés à Taiwan. Les charges utiles sont distribuées via FTP à l’aide de l’adresse IP 119.8.186[.]227, qui appartient à Huawei Cloud.

En tout, le botnet aurait compromis 2 017 adresses IP uniques dans le monde, la plupart des infections détectées aux États-Unis, à Taïwan, en Russie, en Inde, au Brésil, en Australie et en Argentine.

“Le but de ce botnet n’a pas encore été déterminé”, ont noté les chercheurs. “Un objectif de Polaredge pourrait être de contrôler les dispositifs de bord compromis, les transformant en boîtes de relais opérationnelles pour lancer des cyberattaques offensives.”

“Le botnet exploite plusieurs vulnérabilités sur différents types d’équipements, mettant en évidence sa capacité à cibler divers systèmes. La complexité des charges utiles souligne encore la sophistication de l’opération, suggérant qu’elle est menée par des opérateurs qualifiés.

La divulgation intervient alors que SecurityScoreCard a révélé qu’un botnet massif comprenant plus de 130 000 appareils infectés est en cours d’arme Signes non interactifs avec authentification de base.

Cybersécurité

Les panneaux non interactifs sont généralement utilisés pour les protocoles d’authentification et de héritage de service à service comme POP, IMAP et SMTP. Ils ne déclenchent pas l’authentification multi-facteurs (MFA) dans de nombreuses configurations. L’authentification de base, en revanche, permet de transmettre les informations d’identification au format en texte clair.

L’activité, probablement le travail d’un groupe affilié aux Chinois en raison de l’utilisation d’infrastructures liées à CDS Global Cloud et Ucloud HK, utilise des informations d’identification volées à partir de journaux d’infostealer sur un large éventail de comptes M365 pour obtenir un accès non autorisé et obtenir des données sensibles.

“Cette technique contourne les protections de connexion modernes et échappe à l’application de la MFA, créant un angle mort critique pour les équipes de sécurité”, la société dit. “Les attaquants exploitent les informations d’identification volées des journaux d’infostealer pour cibler systématiquement les comptes à grande échelle.”

“Ces attaques sont enregistrées dans des journaux de connexion non interactifs, qui sont souvent négligés par les équipes de sécurité. Les attaquants exploitent cet écart pour effectuer des tentatives de pulvérisation de mot de passe à haut volume non détectées. Cette tactique a été observée dans plusieurs locataires M365 à l’échelle mondiale, indiquant une menace générale et continue.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57