ViciousTrap - 渗透、控制、引诱：将边缘设备大规模转变为蜜罐

关键要点

• Sekoia.io 调查了一个绰号为 ViciousTrap 的威胁行为者，他入侵了超过 5,500 台边缘设备，并将其变成了蜜罐。

• 该攻击者正在监控 50 多个品牌，包括 SOHO 路由器、SSL VPN、DVR 和 BMC 控制器，可能是为了收集影响这些系统的被利用的漏洞。

• 根据与 GobRAT 基础设施的弱重叠性以及受感染设备和主要监控设备的地理分布。

介绍

在之前的博客文章中，Sekoia 的威胁检测与研究 (TDR) 团队记录了CVE-2023-20118漏洞的利用情况，该漏洞被用于部署两种不同的威胁：webshell 和 PolarEdge 恶意软件。

通过观察我们蜜罐上的活动，我们发现了第三个攻击者，Sekoia.io 将其命名为ViciousTrap，也使用了相同的漏洞。感染链涉及执行一个名为NetGhost 的Shell 脚本，该脚本会将来自受感染路由器特定端口的传入流量重定向到攻击者控制的类似蜜罐的基础设施，从而使攻击者能够拦截网络流量。

通过互联网扫描服务对攻击者的行为以及更广泛的基础设施进行检查表明，同一攻击者还将目标锁定在各种其他设备，包括由D-Link、Linksys、ASUS、QNAP和Araknis Networks制造的设备，以构成其基础设施。

对受害者的分析显示，受感染的设备超过5,000 台，尤其是在亚洲地区。一种假设是，攻击者可能试图通过入侵各种面向互联网的设备来构建一个类似蜜罐的分布式网络。这种设置将使攻击者能够观察跨多个环境的攻击尝试，并可能收集非公开或零日漏洞，并重复使用其他威胁行为者获得的访问权限。

为了支持这一假设，在 TDR 蜜罐上观察到的交互表明，攻击者试图重用之前记录的 Web Shell 来部署其重定向脚本。本文将对此感染链进行分析，并分享对2025 年 4 月 18 日ViciousTrap 基础设施的深入分析。

感染链

初始访问

攻击者通过利用CVE-2023-20118漏洞获得初始访问权限，该漏洞影响了多台思科 SOHO 路由器。该攻击者首次尝试利用该漏洞是在 2025 年 3 月。此后，该攻击活动持续存在，几乎每天都会频繁发起攻击，有时甚至一天多次。所有利用尝试都源自同一个 IP 地址101.99.91[.]151。

步骤1：攻击者利用CVE-2023-20118漏洞通过ftpget下载并执行名为a的bash脚本，如下所示。

步骤 2：一个 bash 脚本执行ftpget命令下载一个名为wget的文件，该文件是针对 MIPS 架构（N32 MIPS64）编译的 busybox wget二进制文件。该二进制文件保存在/tmp受感染系统的目录中。它很可能是攻击者手动放置在受感染系统上的，因为该系统默认不提供该二进制文件。攻击者部署此二进制文件是因为在后利用阶段需要它，具体来说是为了通知命令和控制 (C2) 服务器。

步骤3： CVE-2023-20118 漏洞再次被利用。这一次，攻击者使用之前释放的wget二进制文件检索并执行第二个脚本，该脚本的文件名中包含一个唯一的 UUID，每次尝试都会触发该脚本。此 UUID 充当标识符，而命令与控制 (C2) 基础设施似乎会过滤下载请求，并使用允许列表仅向已确认受感染的系统发送有效载荷。

后期利用

一旦执行了辅助脚本main.sh（如下一页的方案所示），它将执行几个关键操作，例如：

• 自我删除：脚本的初始指令之一是 rm 命令，该命令删除脚本本身，可能会最大限度地减少法医伪影并减少检测。

• 通过 iptables 定向重定向入站网络流量：该脚本会检查以下端口（80、8000 或 8080）是否可用（即未被使用或未被过滤）。第一个可用端口存储在名为 的变量中Dport。然后，它会清除所有指向攻击者基础设施的现有 NAT 重定向规则，然后再建立新的重定向。所有入站流量Dport都会转发到脚本变量中定义的与攻击者监听服务器对应的目标地址。

• C2 通知：该脚本使用先前下载的wget二进制文件向远程服务器发送五个 HTTP 请求，每个请求都包含重定向端口和受害者计算机的唯一标识符。这很可能是攻击者的一种注册或跟踪机制。

该恶意脚本内部命名为NetGhost，旨在将网络流量从受感染系统重定向到攻击者控制的第三方基础设施，从而有效地实现中间人 (MitM) 功能。

通过wget检索到该二级脚本的多个变体，所有变体均具有相同的结构。每个变体都包含一个与特定感染尝试对应的唯一 UUID。它们之间的主要区别在于用于流量重定向的目标 IP。迄今为止，已识别出两个不同的 IP 地址（111.90.148[.]151和111.90.148[.]112）。

Webshell 重用

如前所述，所有观察到的攻击尝试都源自一个IP地址：101.99.91[.]151。TDR蜜罐基础设施的日志显示，该IP最早的踪迹出现在2025年3月初。从那时起，攻击尝试几乎每天都会发生，有时甚至一天发生多次。

2025年4月发生了一起特别值得注意的事件，当时攻击者试图使用之前在PolarEdge博客文章中记录的Webshell攻击TDR的一个思科RV042蜜罐。该Webshell尚未公开发布，并且TDR故意隐瞒了操作它所需的身份验证密码。因此，它在一次攻击尝试中出现既出乎意料又令人担忧。

TDR 并未将该 Webshell 的作者归咎于 ViciousTrap。如果该威胁行为者是原始开发者，则预计该 Webshell 应该在2025 年 4 月之前就已被使用。

然而，首次观察到的 Webshell 重用发生在我们发布博文之后，此后，该 Webshell 便频繁被用于后续攻击。此外，这些攻击尝试的感染链和后利用技术与PolarEdge博文中记录的显著不同。目前的主要假设是，威胁行为者可能通过被动观察或数据拦截的方式重用了该 Webshell，并将其重新用于自身的攻击活动。

这一假设与攻击者使用NetGhost（前文所述重定向脚本）的情况相符。重定向机制有效地将攻击者定位为一个静默观察者，能够收集漏洞利用尝试，并可能在传输过程中收集 Webshell 访问信息。

受 Netghost 攻击的设备

根据我们的分析和蜜罐遥测数据，用于执行 NetGhost 的大多数受感染设备都是寿命终止 (EOL) 设备，例如受CVE-2023-20118影响的Cisco SOHO 路由器和通过未识别的缓冲区溢出影响的 D-LINK DIR-850L路由器，这也通过我们的蜜罐看到的多个漏洞得到了证实，如下所示。

根据 Censys 的结果，ViciousTrap 背后的威胁行为者似乎还针对其他 EOL 设备（例如Linksys LRT224 SOHO 路由器和Araknis Networks AN-300-RT-4L2W VPN 路由器）来执行 NetGhost。

原文始发于微信公众号（Ots安全）：ViciousTrap – 渗透、控制、引诱：将边缘设备大规模转变为蜜罐