GeoServer 漏洞、PolarEdge 和 Gayfemboy 等网络犯罪活动超越了传统的僵尸网络

网络安全研究人员正在呼吁关注多起利用已知安全漏洞并将 Redis 服务器暴露于各种恶意活动的活动，包括利用受感染的设备作为物联网僵尸网络、住宅代理或加密货币挖掘基础设施。

第一组攻击利用了CVE-2024-36401（CVSS 评分：9.8），这是一个影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年年底以来，该漏洞已被用于网络攻击。

Palo Alto Networks Unit 42 研究人员张志斌、安义恒、雷超和张浩哲在一份技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包 (SDK) 或修改过的应用程序，通过网络共享或住宅代理获取被动收入。 ”

这种产生被动收入的方法非常隐蔽。它模仿了一些合法应用开发者的盈利策略，这些开发者选择使用 SDK 而不是展示传统广告。这可能是一个出于好意的选择，既能保护用户体验，又能提高应用的留存率。

这家网络安全公司表示，攻击者至少自2025年3月初以来就一直在探测暴露在互联网上的GeoServer实例，利用访问权限从对手控制的服务器中释放自定义可执行文件。这些有效载荷通过使用transfer.sh的文件共享服务器的私有实例进行分发，而非传统的HTTP Web服务器。

此次活动中使用的应用程序旨在通过消耗最少的资源来躲避监控，同时无需分发定制恶意软件即可秘密地利用受害者的互联网带宽获利。这些二进制文件采用 Dart 编写，旨在与合法的被动收入服务进行交互，并谨慎地使用设备资源进行带宽共享等活动。

网络安全
这种方法对于所有参与方来说都是双赢的，因为应用程序的开发人员可以通过集成该功能获得报酬，而网络犯罪分子可以使用看似无害且不会引起任何警告的渠道从未使用的带宽中获利。

Unit 42 表示：“一旦运行，该可执行文件就会在后台秘密运行，监控设备资源，并尽可能非法共享受害者的带宽。这为攻击者带来了被动收入。”

该公司收集的遥测数据显示，99 个国家/地区共有超过 7,100 个公开的 GeoServer 实例，其中中国、美国、德国、英国和新加坡位居前五位。

Unit 42 表示：“这场持续的攻击活动展现了攻击者利用受感染系统牟利方式的重大演变。攻击者的核心策略侧重于隐秘、持续的货币化，而非激进的资源利用。这种方法更倾向于长期、低调地创造收入，而非采用易于检测的技术。”

此次披露正值 Censys 披露大规模物联网僵尸网络PolarEdge的基础设施主干之际，该僵尸网络利用已知的安全漏洞，由企业级防火墙和面向消费者的设备（如路由器、IP 摄像头和 VoIP 电话）组成。目前尚不清楚其确切用途，但可以肯定的是，该僵尸网络并未被用于无差别的大规模扫描。

初始访问权限随后被滥用，从而释放基于 Mbed TLS 的自定义 TLS 后门，该后门可执行加密的命令与控制、日志清理和动态基础设施更新。该后门通常部署在高危非标准端口上，可能是为了绕过传统的网络扫描和防御监控范围。

PolarEdge 表现出与操作中继盒 (ORB) 网络一致的特征，攻击面管理平台指出，有迹象表明该活动早在 2023 年 6 月就开始了，截至本月已影响约 40,000 台活跃设备。超过 70% 的感染分布在韩国、美国、香港、瑞典和加拿大。

安全研究员 Himaja Motheram表示： “ORB 是被入侵的出口节点，它会转发流量，以便代表威胁行为者进行进一步的入侵或攻击。ORB对攻击者如此有价值的原因在于，它们无需接管设备的核心功能——它们可以在设备继续正常运行的同时，悄悄地在后台中继流量，从而让设备所有者或 ISP 不太可能检测到。”

近几个月来，DrayTek、TP-Link、Raisecom 和 Cisco 等供应商的产品漏洞已成为恶意行为者的目标，攻击者利用这些漏洞渗透并部署代号为gayfemboy 的Mirai 僵尸网络变种，这表明攻击范围有所扩大。

Fortinet表示： “gayfemboy 攻击活动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标还涉及制造业、科技业、建筑业、媒体或通信业等多个领域。”

Gayfemboy 能够针对各种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它包含四个主要功能 -

监视器，跟踪线程和进程，同时结合持久性和沙盒规避技术
Watchdog，尝试绑定到 UDP 端口 47272
攻击者使用UDP、TCP、ICMP协议发起DDoS攻击，并通过连接远程服务器接收命令实现后门访问
Killer，如果收到服务器的命令或检测到沙盒操作，它将自行终止
安全研究员 Vincent Li 表示：“Gayfemboy 虽然继承了 Mirai 的结构元素，但也引入了显著的修改，增强了其复杂性和规避检测的能力。这种演变反映了现代恶意软件日益复杂的特点，也凸显了主动防御策略的必要性。”

身份安全风险评估
这一发现还与名为 TA-NATALSTATUS 的威胁行为者发起的加密劫持活动相吻合，该活动针对暴露的 Redis 服务器来提供加密货币矿工。

攻击本质上涉及扫描端口 6379 上未经身份验证的 Redis 服务器，然后发出合法的 CONFIG、SET 和 SAVE 命令来执行恶意 cron 作业，该作业旨在运行禁用 SELinux 的 shell 脚本、执行防御规避步骤、阻止到 Redis 端口的外部连接，以防止竞争对手使用初始访问路径进入，并终止竞争的挖掘过程（例如 Kinsing）。

此外，还部署了用于安装 masscan 或 pnscan 等工具的脚本，然后启动“masscan --shard”等命令来扫描互联网上易受攻击的 Redis 实例。最后一步是通过每小时一次的 cron 作业设置持久性并启动挖矿过程。

网络安全公司 CloudSEK 表示，此次活动是趋势科技于 2020 年 4 月披露的一次攻击活动的演变，其中加入了新功能以适应类似 rootkit 的功能，从而隐藏恶意进程并更改其文件的时间戳以欺骗取证分析。

通过将 ps 和 top 等系统二进制文件重命名为 ps.original，并将其替换为恶意包装器，攻击者可以从输出中过滤掉自己的恶意软件 (httpgd)。管理员使用标准工具查找挖矿程序时无法发现它。研究人员 Abhishek Mathew表示：“他们将 curl 和 wget 重命名为 cd1 和 wd1。这是一种简单而巧妙的方法，可以绕过专门监控这些常用工具名称发起的恶意下载的安全产品。”