Главная страница » IOC
0
14 дней
IOC

PolarEdge Backdoor IOCs

botnet

22 января 2025 года был замечен подозрительный трафик, связанный с уязвимостью CVE-2023-20118, позволяющей выполнение удаленной команды на маршрутизаторах Cisco. Подобные попытки были обнаружены с 22 по 31 января. Позднее, 10 февраля 2025 года, были обнаружены еще одни попытки использования данной уязвимости, которые привели к заражению жертвы с помощью импланта TLS-бэкдора.

PolarEdge Backdoor

Анализ бэкдора показал наличие ботнета PolarEdge, который состоит из более чем 2 000 зараженных устройств по всему миру. Уязвимость CVE-2023-20118 затрагивает маршрутизаторы Cisco и вызвана неправильной проверкой ввода в открытом веб-интерфейсе управления. Злоумышленники могут выполнять удаленные команды на уязвимом устройстве с помощью специально созданных HTTP-запросов. Уязвимость связана с недостаточной проверкой пользовательского ввода, что позволяет злоумышленникам внедрять вредоносные команды и выполнять произвольный код.

Анализ бэкдора раскрыл процесс его развертывания и использования. Злоумышленник использовал веб-оболочку для удаленного доступа, сжатую и закодированную в base64 формате. Он заменил CGI-скрипт аутентификации маршрутизатора на свою веб-оболочку, после чего мог выполнить команды с помощью правильно предоставленного ключа аутентификации.

Бот-сеть PolarEdge также была обнаружена на других устройствах, таких как Asus, QNAP и Synology. Злоумышленник загружал файлы на зараженные маршрутизаторы, пытаясь извлечь сценарий оболочки и выполнить его. Однако не было получено полного файла. Ключ аутентификации веб-оболочки использовался для сканирования Интернета, где было обнаружено всего четыре зараженных маршрутизатора.

Исследование позволило выявить бот-сеть PolarEdge, а также связанную инфраструктуру и методы атаки. Злоумышленники продолжают использовать уязвимость CVE-2023-20118 для атаки на различные устройства.

Indicators of Compromise

IPv4

  • 119.8.186.227
  • 122.8.183.181
  • 159.138.119.99
  • 195.123.212.54
  • 43.129.205.244

Domains

  • aipricadd.top
  • asustordownload.com
  • centrequ.cc
  • durianlink.cc
  • firebasesafer.top
  • gardensc.cc
  • headached.cc
  • hitchil.cc
  • icecreand.cc
  • landim.cc
  • largeroofs.top
  • Logchim.cc
  • longlog.cc
  • nternetd.cc
  • siotherlentsearsitech.shop
  • ssofhoseuegsgrfnu.ru
  • suiteiol.cc

SHA256

  • 121969d72f8e6f09ad93cf17500c479c452e230e27e7b157d5c9336dff15b6ef
  • 13cd040a7f488e937b1b234d71a0126b7bc74367bf6538b6961c476f5d620d13
  • 1ca7262f91d517853a0551b14abb0306c4e3567e41b1e82a018f0aac718e499e
  • 464f29d5f496b4acffc455330f00adb34ab920c66ca1908eee262339d6946bcd
  • 932b2545bd6e3ad74b82ca2199944edecf9c92ad3f75fce0d07e04ab084824d5
  • eda7cc5e1781c681afe99bf513fcaf5ae86afbf1d84dfd23aa563b1a043cbba8
Комментарии: 0
Похожие записи
0
21 час
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает