کمپین بدافزاری PolarEdge

۱۱ اسفند ۱۴۰۳

یک کمپین جدید بدافزاری از اواخر سال ۲۰۲۳ شناسایی شده که دستگاه‌های ASUS، QNAP و Synology را مورد هدف قرار داده و آن‌ها را با استفاده از یک بات‌نت به نام PolarEdge آلوده کرده است.

شرکت امنیت سایبری Sekoia اعلام کرد که مهاجمان ناشناس با سوءاستفاده از آسیب‌پذیری CVE-2023-20118 که یک نقص امنیتی در تجهیزات شبکه سیسکو است، یک درب پشتی (Backdoor) ایجاد کرده‌اند که امکان اجرای کدهای مخرب را روی دستگاه‌های آسیب‌پذیر فراهم می‌کند.

از آنجا که این تجهیزات به پایان عمر (EoL) خود رسیده‌اند و دیگر پشتیبانی نمی‌شوند، این آسیب‌پذیری هنوز اصلاح نشده است. شرکت سیسکو برای کاهش خطرات، به کارشناسان امنیتی توصیه کرده که قابلیت مدیریت از راه دور را غیرفعال کرده و دسترسی به پورت‌های 443 و 60443 را مسدود کنند.

در حمله‌ای که توسط هانی‌پات‌های Sekoia ثبت شده، از این آسیب‌پذیری برای ارسال یک ابزار ناشناخته جدید استفاده شده است. این ابزار یک درب پشتی مبتنی بر TLS را پیاده‌سازی می‌کند که امکان مشاهده اتصالات ورودی و اجرای دستورات مخرب توسط مهاجمان را فراهم می‌سازد.

تخمین زده می‌شود که این بات‌نت تاکنون ۲,۰۱۷ آدرس IP را در سراسر جهان آلوده کرده است. بیشترین قربانیان این حملات در کشورهای ایالات متحده، تایوان، روسیه، هند، برزیل، استرالیا و آرژانتین شناسایی شده‌اند.

 

توضیحات بیشتر:

PolarEdge Botnet Exploits Cisco and Other Flaws to Hijack ASUS, QNAP, and Synology Devices