Количество обнаруженных устройств Cisco IOS XE с вредоносным бэкдором сократилось с 50 000 устройств до нескольких сотен после того, как злоумышленники обновили бэкдор, чтобы скрыть зараженные системы от сканирования.
На этой неделе компания Cisco сообщила, что хакеры используя две уязвимости нулевого дня CVE-2023-20198 и CVE-2023-20273, взломали более 50 000 устройств Cisco IOS XE для создания учетных записей привилегированных пользователей и установки вредоносного бэкдора LUA.
Этот LUA-имплант позволяет участникам атаки удаленно выполнять команды с уровнем привилегий 15, получив наивысший уровень привилегий на устройстве.
Однако этот имплант не обладает стойкостью, то есть перезагрузка приведет к удалению бэкдора. Однако все локальные пользователи, созданные в ходе атаки, останутся.
После публикации этой новости фирмы, занимающиеся кибербезопасностью, и исследователи обнаружили, что примерно 60 000 из 80 000 публично доступных устройств Cisco ISO XE были взломаны с помощью этого имплантата.
Таинственное снижение числа обнаруженных имплантов Cisco
В субботу несколько организаций, занимающихся вопросами кибербезопасности, сообщили, что число устройств Cisco IOS XE с вредоносным имплантом таинственным образом снизилось с 60 тыс. устройств до всего 100-1200.
Основатель компании Onyphe Патрис Оффрет (Patrice Auffret) сообщил BleepingComputer, что, по его мнению, участники атак устанавливают обновление, чтобы скрыть свое присутствие, в результате чего импланты перестают быть видны при сканировании: «Уже второй день подряд мы видим, что количество имплантов резко сокращается за короткое время (см. прилагаемые скриншоты). По всей видимости, практически все они были перезагружены (поскольку известный имплант не выдерживает перезагрузки) или обновлены.»
«То, что имплантат так легко обнаружить удаленно, было ошибкой с их стороны. Вероятно, они устанавливают обновление, чтобы скрыть свое присутствие».
Петр Кижевский, генеральный директор The Shadowserver Foundation, также сообщил BleepingComputer, что с 21 сентября количество имплантов резко сократилось, и в результате сканирования было обнаружено всего 107 устройств с вредоносным имплантом.
«Похоже, что имплант был либо удален, либо каким-то образом обновлен»
- сообщил Кижевский BleepingComputer по электронной почте
Другая версия заключается в том, что хакеры автоматизируют перезагрузку пораженных устройств Cisco IOS XE, чтобы удалить имплант. Однако специалисты Orange Cyberdefense CERT группы Orange сообщили BleepingComputer, что они не считают, что за уменьшением числа имплантов стоит «серый» хакер, а скорее это может быть новая фаза эксплуатации.
«Обратите внимание, что в настоящее время проводится потенциальная операция по очистке следов, чтобы скрыть имплант (после эксплуатации #CVE-2023-20198). Даже если вы отключили свой WebUI, мы рекомендуем провести исследование, чтобы убедиться, что в него не были добавлены вредоносные пользователи и что его конфигурация не была изменена».
Наконец, есть предположение, что множество взломанных устройств с имплантатами были просто приманкой, скрывающей настоящие цели атак.
К сожалению, на данный момент у нас есть только теории относительно причин снижения числа обнаружений.
Комментарии (0)