HackerNews 编译,转载请注明出处:
网络安全研究人员披露,代号ViciousTrap的黑客组织已入侵全球84个国家近5,300台网络边缘设备,将其改造成类蜜罐网络。该组织利用思科小型企业路由器(型号RV016、RV042、RV042G、RV082、RV320、RV325)的关键漏洞CVE-2023-20118实施大规模入侵,其中850台受控设备位于澳门。
安全公司Sekoia在周四发布的分析报告中指出:“感染链涉及执行名为NetGhost的shell脚本,该脚本将被入侵路由器特定端口的流量重定向至攻击者控制的类蜜罐设施,从而实现网络流量劫持。” 此前,法国网络安全公司曾将该漏洞利用归因于另一个名为PolarEdge的僵尸网络。
尽管尚无证据表明这两项活动存在关联,但研究人员认为ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施,涉及品牌包括Araknis、华硕、D-Link、领势、威联通等50余个厂商的SOHO路由器、SSL VPN、数字录像机及基板管理控制器。
分析报告补充称:“这种架构使攻击者能观察多环境渗透尝试,可能收集未公开或零日漏洞利用方案,并劫持其他威胁组织的入侵成果。” 攻击链首先通过漏洞利用下载bash脚本,该脚本从外部服务器获取wget工具后再次触发漏洞,执行第二阶段的NetGhost脚本。
NetGhost脚本配置了流量重定向功能,将被控系统流量导向攻击者控制的第三方设施,实施中间人攻击,同时具备自删除能力以减少取证痕迹。Sekoia表示所有攻击尝试均源自单一IP地址(101.99.91[.]151),最早活动可追溯至2025年3月。次月监测到该组织将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。
安全研究人员费利克斯·艾梅与杰里米·希恩指出:“该行为与攻击者使用NetGhost的策略相符,流量重定向机制使其成为静默观察者,可收集渗透尝试及传输中的WebShell访问痕迹。” 本月最新攻击活动转向华硕路由器,使用另一IP地址(101.99.91[.]239),但未在受控设备部署蜜罐。所有活跃IP均位于马来西亚,归属托管服务商Shinjiru运营的自治系统AS45839。
基于与GobRAT基础设施的微弱关联,以及流量重定向至中国台湾地区和美国多地资产的事实,研究人员判断该组织可能具备中文背景。Sekoia总结称:“尽管高度确信ViciousTrap构建的是类蜜罐网络,但其最终目标仍未明确。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
