📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética lançaram luz sobre o funcionamento interno de um malware de botnet chamado PolarEdge.
PolarEdge foi documentado pela primeira vez pela Sekoia em fevereiro de 2025, atribuindo-o a uma campanha direcionada a roteadores da Cisco, ASUS, QNAP e Synology com o objetivo de encurralá-los em uma rede para um propósito ainda indeterminado.
O implante ELF baseado em TLS, em sua essência, é projetado para monitorar conexões de clientes de entrada e executar comandos dentro delas.
Então, em agosto de 2025, a plataforma de gerenciamento de superfície de ataque Censys detalhou o backbone infraestrutural que alimenta o botnet, com a empresa observando que o PolarEdge exibe características que são consistentes com uma rede Operational Relay Box (ORB). Há evidências que sugerem que a atividade envolvendo o malware pode ter começado já em junho de 2023.
Nas cadeias de ataque observadas em fevereiro de 2025, os atores da ameaça foram observados explorando uma falha de segurança conhecida que afeta os roteadores Cisco (CVE-2023-20118) para baixar um script de shell chamado “q” por FTP, que é então responsável por recuperar e executar o backdoor PolarEdge no sistema comprometido.
“A principal função do backdoor é enviar uma impressão digital do host ao seu servidor de comando e controle e, em seguida, ouvir os comandos por meio de um servidor TLS integrado implementado com mbedTLS”, disse a empresa francesa de segurança cibernética em uma análise técnica do malware.
O PolarEdge foi projetado para suportar dois modos de operação: um modo de conexão de retorno, onde o backdoor atua como um cliente TLS para baixar um arquivo de um servidor remoto, e um modo de depuração, onde o backdoor entra em um modo interativo para modificar sua configuração (ou seja, informações do servidor) em tempo real.
A configuração é incorporada nos 512 bytes finais da imagem ELF, ofuscada por um XOR de um byte que pode ser descriptografado com a chave de byte único 0x11.
No entanto, seu modo padrão é funcionar como um servidor TLS para enviar uma impressão digital do host ao servidor de comando e controle (C2) e aguardar o envio dos comandos. O servidor TLS é implementado com mbedTLS v2.8.0 e depende de um protocolo binário personalizado para analisar solicitações recebidas que correspondam a critérios específicos, incluindo um parâmetro chamado "HasCommand".
Algoritmos de criptografia usados para ofuscar partes do backdoor
Se o parâmetro "HasCommand" for igual ao caractere ASCII 1, o backdoor extrai e executa o comando especificado no campo "Command" e transmite de volta a saída bruta do comando executado.
Uma vez iniciado, o PolarEdge também move (por exemplo, /usr/bin/wget, /sbin/curl) e exclui determinados arquivos ("/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak") no dispositivo infectado, embora o propósito exato por trás desta etapa não seja claro.
Além disso, o backdoor incorpora uma ampla gama de técnicas anti-análise para ofuscar informações relacionadas à configuração do servidor TLS e à lógica de impressão digital. Para evitar a detecção, ele emprega mascaramento de processo durante sua fase de inicialização, escolhendo aleatoriamente um nome em uma lista predefinida. Alguns dos nomes incluídos são: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.
“Embora o backdoor não garanta persistência nas reinicializações, ele chama fork para gerar um processo filho que, a cada 30 segundos, verifica se /proc/ ainda existe”, explicaram os pesquisadores da Sekoia. "Se o diretório desapareceu, o filho executa um comando shell para reiniciar o backdoor."
A divulgação ocorre no momento em que a Synthient destaca a capacidade do GhostSocks de converter dispositivos comprometidos em proxies residenciais SOCKS5. Diz-se que GhostSocks foi anunciado pela primeira vez sob o modelo de malware como serviço (MaaS) no fórum XSS em outubro de 2023.
É importante notar que a oferta foi integrada ao Lumma Stealer no início de 2024, permitindo que os clientes do malware ladrão monetizem os dispositivos comprometidos após a infecção.
“O GhostSocks oferece aos clientes a capacidade de criar uma DLL ou executável de 32 bits”, disse Synthient em uma análise recente. "O GhostSocks tentará localizar um arquivo de configuração em %TEMP%. No cenário em que o arquivo de configuração não puder ser encontrado, ele retornará para uma configuração codificada."
A configuração contém detalhes do servidor C2 ao qual uma conexão é estabelecida para provisionar o proxy SOCKS5 e, por fim, gerar uma conexão usando as bibliotecas go-socks5 e yamux de código aberto.
PolarEdge foi documentado pela primeira vez pela Sekoia em fevereiro de 2025, atribuindo-o a uma campanha direcionada a roteadores da Cisco, ASUS, QNAP e Synology com o objetivo de encurralá-los em uma rede para um propósito ainda indeterminado.
O implante ELF baseado em TLS, em sua essência, é projetado para monitorar conexões de clientes de entrada e executar comandos dentro delas.
Então, em agosto de 2025, a plataforma de gerenciamento de superfície de ataque Censys detalhou o backbone infraestrutural que alimenta o botnet, com a empresa observando que o PolarEdge exibe características que são consistentes com uma rede Operational Relay Box (ORB). Há evidências que sugerem que a atividade envolvendo o malware pode ter começado já em junho de 2023.
Nas cadeias de ataque observadas em fevereiro de 2025, os atores da ameaça foram observados explorando uma falha de segurança conhecida que afeta os roteadores Cisco (CVE-2023-20118) para baixar um script de shell chamado “q” por FTP, que é então responsável por recuperar e executar o backdoor PolarEdge no sistema comprometido.
“A principal função do backdoor é enviar uma impressão digital do host ao seu servidor de comando e controle e, em seguida, ouvir os comandos por meio de um servidor TLS integrado implementado com mbedTLS”, disse a empresa francesa de segurança cibernética em uma análise técnica do malware.
O PolarEdge foi projetado para suportar dois modos de operação: um modo de conexão de retorno, onde o backdoor atua como um cliente TLS para baixar um arquivo de um servidor remoto, e um modo de depuração, onde o backdoor entra em um modo interativo para modificar sua configuração (ou seja, informações do servidor) em tempo real.
A configuração é incorporada nos 512 bytes finais da imagem ELF, ofuscada por um XOR de um byte que pode ser descriptografado com a chave de byte único 0x11.
No entanto, seu modo padrão é funcionar como um servidor TLS para enviar uma impressão digital do host ao servidor de comando e controle (C2) e aguardar o envio dos comandos. O servidor TLS é implementado com mbedTLS v2.8.0 e depende de um protocolo binário personalizado para analisar solicitações recebidas que correspondam a critérios específicos, incluindo um parâmetro chamado "HasCommand".
Algoritmos de criptografia usados para ofuscar partes do backdoor
Se o parâmetro "HasCommand" for igual ao caractere ASCII 1, o backdoor extrai e executa o comando especificado no campo "Command" e transmite de volta a saída bruta do comando executado.
Uma vez iniciado, o PolarEdge também move (por exemplo, /usr/bin/wget, /sbin/curl) e exclui determinados arquivos ("/share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak") no dispositivo infectado, embora o propósito exato por trás desta etapa não seja claro.
Além disso, o backdoor incorpora uma ampla gama de técnicas anti-análise para ofuscar informações relacionadas à configuração do servidor TLS e à lógica de impressão digital. Para evitar a detecção, ele emprega mascaramento de processo durante sua fase de inicialização, escolhendo aleatoriamente um nome em uma lista predefinida. Alguns dos nomes incluídos são: igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd e iapp.
“Embora o backdoor não garanta persistência nas reinicializações, ele chama fork para gerar um processo filho que, a cada 30 segundos, verifica se /proc/
A divulgação ocorre no momento em que a Synthient destaca a capacidade do GhostSocks de converter dispositivos comprometidos em proxies residenciais SOCKS5. Diz-se que GhostSocks foi anunciado pela primeira vez sob o modelo de malware como serviço (MaaS) no fórum XSS em outubro de 2023.
É importante notar que a oferta foi integrada ao Lumma Stealer no início de 2024, permitindo que os clientes do malware ladrão monetizem os dispositivos comprometidos após a infecção.
“O GhostSocks oferece aos clientes a capacidade de criar uma DLL ou executável de 32 bits”, disse Synthient em uma análise recente. "O GhostSocks tentará localizar um arquivo de configuração em %TEMP%. No cenário em que o arquivo de configuração não puder ser encontrado, ele retornará para uma configuração codificada."
A configuração contém detalhes do servidor C2 ao qual uma conexão é estabelecida para provisionar o proxy SOCKS5 e, por fim, gerar uma conexão usando as bibliotecas go-socks5 e yamux de código aberto.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #polaredge #tem #como #alvo #roteadores #cisco, #asus, #qnap #e #synology #em #campanha #de #expansão #de #botnet
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário