Los investigadores de ciberseguridad han revelado que los actores de amenaza, conocidos como el nombre en codeado Visicotrap, han comprometido a casi 5.300 dispositivos de borde de red únicos en 84 países, convirtiéndolos en redes similares a los honeypot.
Se han observado actores de amenaza utilizando fallas de seguridad críticas que afectan a Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 Routers (CVE-2023-20118). La mayoría de las infecciones están en Macao, con 850 dispositivos infractores.
«La cadena de infección implica ejecutar un script de shell llamado NetGhost, que le permite interceptar los flujos de red redirigiendo el tráfico entrante de un puerto específico en un enrutador comprometido a una infraestructura similar a un honeypot bajo el control de un atacante».
Es de destacar que la explotación de CVE-2023-20118 se atribuyó a PolaredO, anteriormente conocido como otra botnet por firmas de seguridad cibernética francesa.
Aunque no hay evidencia de que estos dos conjuntos de actividad estén conectados, se cree que los actores de amenaza detrás de Viousictrap pueden establecer una infraestructura de honeypot al violar una amplia gama de equipos orientados a Internet, incluidos enrutadores SOHO, VPNS SSL, DVRS, DVRS, redes Araknis y D-Link.
«Esta configuración permite a los actores observar intentos de explotación en múltiples entornos, recolectar exploits privados o de día cero, y reutilizar el acceso obtenido por otros actores de amenazas».
La cadena de ataque implica el arma de CVE-2023-20118, descargue y ejecute el script bash a través de ftpget, contactando a un servidor externo para obtener los binarios de WGET. En el siguiente paso, la falla de Cisco se explota por segunda vez y la usa para ejecutar el segundo script obtenido usando el WGet que eliminé anteriormente.
Los scripts de shell de la segunda etapa de NetGhost y referencias internas se configuran para redirigir el tráfico de la red de los sistemas comprometidos controlados por los atacantes a la infraestructura de terceros, lo que facilita los ataques de la escuela intermedia (AITM). También tiene la capacidad de eliminarse de los hosts comprometidos para minimizar los senderos forenses.
Sekoia dijo que todos los intentos de explotar se derivan de una sola dirección IP («101.99.91 (.) 151»), y las actividades tempranas se remontan a marzo de 2025, en un evento notable observado un mes después, se dice que un shell web no emitido ha sido reapopado, donde los actores de Viowichtrap no han sido atacados anteriormente en sus propias operaciones.
«Esta suposición es consistente con el uso del atacante de NetGhosts», dijeron los investigadores de seguridad Felil Amile y Jeremy Sion. «El mecanismo de redirección puede colocar efectivamente a los atacantes como observadores silenciosos, recolectar intentos de explotación y potencialmente recolectar acceso de shell web durante el tránsito».
Como este mes, los esfuerzos de explotación están dirigidos a los enrutadores ASUS, pero también están dirigidos por diferentes direcciones IP («101.99.91 (.) 239»), pero no se ha descubierto que los actores de amenaza crearán honeypots en dispositivos infectados. Todas las direcciones IP utilizadas activamente en la campaña se encuentran en Malasia y forman parte de un sistema autónomo (AS45839) ejecutado por el proveedor Shinjiru.
Se cree que el actor es de orígenes de habla china basada en la superposición débil con la infraestructura Goblat y el hecho de que el tráfico se redirige a numerosos activos en Taiwán y los Estados Unidos.
«El propósito final de Viousictrap es (pero) se desconoce incluso creer que es una red de estilo honeypot», concluyó Sekoia.
Source link
