Cybersecurity-onderzoekers hebben bekendgemaakt dat een bedreigingsacteur codenaam ViciousTrap bijna 5.300 unieke netwerkrandapparaten in 84 landen heeft aangetast en deze in een honeypot-achtig netwerk heeft veranderd.
De dreigingsacteur is geobserveerd om een kritieke beveiligingsfout te benutten die van invloed is op Cisco Small Business RV016, RV042, RV042G, RV082, RV320 en RV325-routers (CVE-2013-20118) om ze te verzamelen in een set Honeypots en masse. Een meerderheid van de infecties bevindt zich in Macau, met 850 gecompromitteerde apparaten.
“De infectieketen omvat de uitvoering van een shell-script, genaamd NetGhost, dat inkomend verkeer omleidt van specifieke poorten van de gecompromitteerde router naar een honeypot-achtige infrastructuur onder controle van de aanvaller waardoor ze netwerkstromen kunnen onderscheppen,” zei Sekoia in een analyse gepubliceerd in een analyse gepubliceerd.
Het is vermeldenswaard dat de exploitatie van CVE-2023-20118 eerder door het Franse cybersecuritybedrijf werd toegeschreven aan een ander botnet genaamd PolaredGe.
Hoewel er geen bewijs is dat deze twee sets activiteiten zijn verbonden, wordt aangenomen dat de dreigingsacteur achter ViciousTrap waarschijnlijk Honeypot-infrastructuur opzet door een breed scala aan op internet gerichte apparatuur te overtreden, waaronder SOHO Routers, SSL VPN’s, DVR’s en BMC-controllers van meer dan 50 merken zoals Araknis, Asus, Asus, D-Link, D-Links, DVR’s, DVR’s en QNAP.
“Deze opstelling zou de acteur in staat stellen om exploitatiepogingen in meerdere omgevingen te observeren en mogelijk niet-openbare of zero-day exploits te verzamelen, en hergebruiktoegang verkregen door andere dreigingsactoren,” voegde het eraan toe.
De aanvalsketen omvat de bewapening van CVE-2023-20118 om een bash-script te downloaden en uit te voeren via FTPGet, dat vervolgens contact opneemt met een externe server om de wget binary op te halen. In de volgende stap wordt de Cisco -fout een tweede keer geëxploiteerd, gebruikt deze om een tweede script uit te voeren dat is opgehaald met de eerder gevallen wget.
Het shell-script op de tweede fase, intern genoemd als NetGhost, is geconfigureerd om netwerkverkeer van het gecompromitteerde systeem naar infrastructuur van derden te omleiden die door de aanvaller worden bestuurd, waardoor de aanvallen van de tegenstander (AITM) worden vergemakkelijkt. Het wordt ook geleverd met mogelijkheden om zichzelf van de gecompromitteerde host te verwijderen om forensisch pad te minimaliseren.
Sekoia zei dat alle exploitatiepogingen afkomstig zijn van een enkel IP -adres (“101.99.91 (.) 151”), met de vroegste activiteit die teruggaat tot maart 2025. In een opmerkelijke gebeurtenis hebben een maand later waargenomen, de ViciousTrap -acteurs zouden een ervaren webschaal hebben herhaald dat eerder werd gebruikt in gepolarde botnet -aanvallen voor hun eigen operaties.
“Deze veronderstelling sluit aan bij het gebruik van Netghost door de aanvaller,” zeiden beveiligingsonderzoekers Felix Aimé en Jeremy Scion. “Het omleidingsmechanisme positioneert de aanvaller effectief als een stille waarnemer, die in staat is om exploitatiepogingen te verzamelen en, mogelijk, webschaaltoegang tijdens het transport.”
Zo recent als deze maand, zijn exploitatie -inspanningen ook gericht op ASUS -routers, maar van een ander IP -adres (“101.99.91 (.) 239”), hoewel de dreigingsactoren niet zijn gevonden om een honeypot op de geïnfecteerde apparaten te creëren. Alle IP -adressen die actief in de campagne worden gebruikt, bevinden zich in Maleisië en maken deel uit van een autonoom systeem (AS45839) dat wordt beheerd door hostingprovider Shinjiru.
De acteur wordt verondersteld van Chinees sprekende oorsprong te zijn op basis van een zwakke overlap met de Gobrat-infrastructuur en het feit dat verkeer wordt omgeleid naar talloze activa in Taiwan en de Verenigde Staten.
“Het uiteindelijke doel van viciousTrap blijft onduidelijk, zelfs (hoewel) we beoordelen met een hoog vertrouwen dat het een netwerk in Honeypot-stijl is,” concludeerde Sekoia.
