PolarEdge 殭屍網路鎖定台灣:華碩、QNAP 和 Synology 設備面臨嚴重威脅
法國資安公司 Sekoia 最近發現一項新的惡意軟體活動,針對思科(Cisco)、華碩(ASUS)、威聯通(QNAP) 和 群暉科技(Synology )等廠商的邊緣端設備,將它們納入一個名為 PolarEdge 的殭屍網路中。而這一攻擊活動至少從2023年底就已開始。
根據 Sekoia 的報告,未知威脅行為者正在利用 CVE-2023-20118(CVSS 評分為 6.5)這一嚴重安全漏洞。該漏洞影響 Cisco Small Business RV016、RV042、RV042G、RV082、RV320 和 RV325 路由器,可能導致在受影響設備上執行任意命令。
由於這些路由器已經達到生命週期結束(EoL)狀態,此漏洞仍未被修補。思科曾在2023年初建議禁用遠端管理並阻止訪問443和60443端口來緩解此漏洞。
PolarEdge 殭屍網路的運作方式
根據 Sekoia 的蜜罐系統記錄,攻擊者成功利用該漏洞後會植入一個此前從未被發現的 TLS 後門程式,該程式能夠監聽傳入的客戶端連接並執行任意命令,使攻擊者能夠完全控制被入侵的裝置。
這個後門程式通過名為「q」的shell腳本啟動,該腳本在成功利用漏洞後通過FTP檢索並運行。該腳本執行多項操作,包括清理日誌文件並終止可疑進程,隨後從119.8.186[.]227下載名為「t.tar」的惡意負載。接著,腳本會執行從該存檔中提取的「cipher_log」二進制文件,並通過修改名為「/etc/flash/etc/cipher.sh」的文件建立持久性,確保「cipher_log」二進制文件能夠反覆運行。最終,腳本會執行「cipher_log」TLS後門,完成整個感染過程。
代號為 PolarEdge 的惡意軟體會進入無限循環,建立 TLS 會話並產生子進程來管理客戶端請求並使用 exec_command 執行命令。
Sekoia 研究人員 Jeremy Scion 和 Felix Aimé 表示,「該二進位文件會通知C2伺服器已成功感染新設備,使攻擊者能夠通過 IP 地址/端口配對確定哪個設備被感染。」
攻擊範圍涵蓋台灣
研究人員示警,類似的 PolarEdge 負載也被用於攻擊華碩、QNAP 和 Synology 設備。所有這些工具都是由位於台灣的用戶上傳到 VirusTotal 的。這些負載使用屬於華為雲的 IP 位址: 119.8.186[.]227 的 FTP 分發。
據估計,這個殭屍網路已經在全球範圍內感染了2,017個獨特的IP地址,大多數感染在美國、台灣、俄羅斯、印度、巴西、澳大利亞和阿根廷被檢測到。
研究人員指出PolarEdge 殭屍網路的目的尚未確定,但可能是控制被入侵的邊緣設備,將它們轉變為發動網路攻擊的操作中繼箱。應注意的是,PolarEdge 利用不同類型設備的多個漏洞,突顯了其攻擊各種系統的能力。負載的複雜性進一步凸顯了該行動的複雜性,表明它是由技術嫻熟的操作者進行。
鑒於這一威脅,資安專家建議企業和用戶:
- 確保所有網路設備使用最新韌體
- 禁用不必要的遠端管理功能
- 定期監控網路流量的異常活動
- 針對關鍵系統實施多因素認證
- 考慮升級替換已達到生命週期結束的設備
專家特別提醒台灣地區的用戶和企業應特別注意,因為台灣是此次攻擊的主要目標之一。定期備份重要數據和實施強大的網路安全策略對於減輕此類威脅的風險至關重要。
