ViciousTrap kampány routerek ellen
A Sekoia kutatói nyilvánosságra hozták, hogy egy ViciousTrap nevű kiberszereplő 84 országban közel 5300 egyedi hálózati edge eszközből alakított ki honeypot hálózatot.
A kiberszereplő a Cisco Small Business RV016, RV042, RV042G, RV042G, RV082, RV320 és RV325 routereket érintő kritikus biztonsági hibát (CVE-2023-20118) használta ki tömegesen. A fertőzések többsége Makaóban található, 850 fertőzött eszközzel.
A ViciousTrap-nek tulajdonított első kihasználási kísérletet 2025 márciusában figyelték meg. Azóta az aktivitás folyamatos, a gyakori támadások szinte naponta – és esetenként naponta többször is – előfordulnak. Minden kihasználási kísérlet a 101.99.91[.]151 IP-címről származik.
A támadó először kihasználja a CVE-2023-20118 sérülékenységet, hogy ftpget-en keresztül letöltsön és futtasson egy “a” nevű bash-szkriptet. A bash szkript végrehajt egy ftpget parancsot a wget letöltésére, amely egy busybox wget bináris, MIPS architektúrára (N32 MIPS64) fordítva. A bináris állomány a kompromittált rendszer /tmp könyvtárába kerül, amit valószínűleg a támadó helyezett el a kompromittált rendszeren, mivel alapértelmezés szerint nem érhető el azon a rendszeren. A támadó azért telepítette ezt a bináris állományt, mert a támadás utáni fázisban szükség van rá, különösen a C2-höz.
Ezután a CVE-2023-20118 sérülékenységet másodszor is kihasználják. Ezután a wget bináris állományt egy második szkript lekérdezésére és futtatására használják, amely minden egyes kísérletnél egyedi UUID-t tartalmaz a fájlnévben. Ez az UUID azonosítóként működik, és a C2 infrastruktúra kiszűri a letöltési kérelmeket, és csak a megerősített, kompromittált rendszerekre juttatja el a hasznos terheléseket egy engedélyezési lista segítségével.
A fertőzési lánc egy NetGhost nevű shell script futtatását foglalja magában, amely a fertőzött router meghatározott portjairól bejövő forgalmat a támadó ellenőrzése alatt álló honeypot-szerű infrastruktúrába irányítja át, lehetővé téve a hálózati forgalom lehallgatását.
A CVE-2023-20118 kihasználását a Sekoia korábban a PolarEdge nevű botnetnek tulajdonította. Azonban nincs bizonyíték arra, hogy e két tevékenységcsoport kapcsolatban állna egymással. A kutatók úgy vélik, hogy a ViciousTrap egy nagyobb honeypot-infrastruktúrát hoz létre az internetre néző eszközök széles körének feltörésével, beleértve SOHO-routereket, SSL VPN-eket, DVR-eket és BMC-vezérlőket több mint 50 márkától, például az Araknis Networks, ASUS, D-Link, Linksys és QNAP.