PolarEdge backdoor
A Sekoia TDR elemzése a PolarEdge kampány egyik, QNAP-ra célzott backdoorját ismerteti. A kutatók szerint a támadók a CVE-2023-20118 sebezhetőséget kihasználva jutottak be, majd egy letöltött script (q) révén telepítették az ELF 64-bites implantot. A mintában statikus, de nem erősen maszkolt kód fut, a program alapértelmezett server módban TLS-szerverként hallgat (mbedTLS), naponta elküldi a gép-fingerprintet a C2-nek, és parancsokat fogad, alternatív connect-back és debug módokat is támogat. A konfiguráció a bináris végéből olvasható ki (utolsó 512 byte), egyszerű XOR-dal dekódolva, és tartalmazza a C2-kiszolgálók listáját, a titkos protokoll-tokeneket és a hallgató portját.
Technikailag a backdoor lehetővé teszi parancsok végrehajtását, fájlok letöltését/indítását (pl. /tmp/.qnax.sh), és több ellen-analízis trükköt is alkalmaz, beágyazott certlánc, egyszerű titkosítások és fájlátmozgatások, amelyek eltávolíthatják vagy elfedhetik más aktorok hozzáférését. Sekoia megjegyzi, hogy a PolarEdge-familia nem csak QNAP-ot érintett, Asus és Synology eszközökön is találtak hasonló variánsokat.
