Ένα νέο botnet κακόβουλου λογισμικού που βασίζεται στο Mirai με το όνομα «InfectedSlurs» εκμεταλλεύεται δύο ευπάθειες μηδενικής ημέρας απομακρυσμένης εκτέλεσης κώδικα (RCE) για να μολύνει δρομολογητές και συσκευές εγγραφής βίντεο (NVR).
Το
κακόβουλο λογισμικό
κλέβει τις συσκευές για να τις κάνει μέρος του σμήνος του DDoS (κατανεμημένης άρνησης υπηρεσίας), που πιθανώς νοικιάζεται για κέρδος.
Η ανακάλυψη του «InfectedSlurs» προέρχεται από τον Akamai, ο οποίος το εντόπισε για πρώτη φορά στα honeypots του στα τέλη Οκτωβρίου 2023. Ωστόσο, η αρχική δραστηριότητα του botnet χρονολογείται από τα τέλη του 2022.
Η εταιρεία κυβερνοασφάλειας αναφέρει ότι οι επηρεαζόμενοι προμηθευτές δεν έχουν επιδιορθώσει ακόμη τα δύο ελαττώματα που χρησιμοποιήθηκαν. Ως εκ τούτου, οι λεπτομέρειες σχετικά με αυτές έχουν κρατηθεί προς το παρόν.
Ανακάλυψη και στόχοι
Η Ομάδα Απάντησης Πληροφοριών Ασφαλείας (SIRT) της Akamai ανακάλυψε για πρώτη φορά το botnet τον Οκτώβριο του 2023, παρατηρώντας ασυνήθιστη δραστηριότητα σε μια σπάνια χρησιμοποιούμενη θύρα TCP που στοχεύει τα honeypot τους.
Η δραστηριότητα αφορούσε ανιχνευτές χαμηλής συχνότητας που επιχειρούσαν έλεγχο ταυτότητας μέσω αιτημάτων POST, ακολουθούμενες από μια προσπάθεια ένεσης εντολής.
Με βάση τα δεδομένα που κατείχαν, οι αναλυτές του SIRT πραγματοποίησαν σάρωση σε όλο το διαδίκτυο και ανακάλυψαν ότι οι στοχευμένες συσκευές ήταν συνδεδεμένες με έναν συγκεκριμένο κατασκευαστή NVR, ο οποίος δεν κατονομάζεται στην αναφορά για λόγους ασφαλείας.
Το botnet αξιοποιεί ένα μη τεκμηριωμένο ελάττωμα RCE για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στη συσκευή.
“Το SIRT έκανε έναν γρήγορο έλεγχο για CVE που είναι γνωστό ότι επηρεάζουν τις συσκευές NVR αυτού του προμηθευτή και διαπίστωσε έκπληκτος ότι κοιτάζαμε ένα νέο exploit
zero-day
που αξιοποιείται ενεργά στην άγρια φύση”, αναφέρει.
Η αναφορά του Akamai
.
“Μέσω της διαδικασίας υπεύθυνης αποκάλυψης, ο πωλητής μας ενημέρωσε ότι εργάζονται για μια επιδιόρθωση που πιθανότατα θα αναπτυχθεί τον Δεκέμβριο του 2023.”
Περαιτέρω εξέταση έδειξε ότι το κακόβουλο λογισμικό χρησιμοποιεί επίσης προεπιλεγμένα διαπιστευτήρια που τεκμηριώνονται στα εγχειρίδια του προμηθευτή για πολλά προϊόντα NVR για την εγκατάσταση ενός προγράμματος-πελάτη bot και την εκτέλεση άλλων κακόβουλων δραστηριοτήτων.
Εξετάζοντας πιο προσεκτικά την
καμπάνια
, ο Akamai ανακάλυψε ότι το botnet στοχεύει επίσης έναν δρομολογητή ασύρματου LAN που είναι δημοφιλής στους οικιακούς χρήστες και στα ξενοδοχεία, ο οποίος πάσχει από ένα άλλο ελάττωμα RCE μηδενικής ημέρας που χρησιμοποιείται από το κακόβουλο λογισμικό.
Ο ανώνυμος προμηθευτής της συσκευής του δρομολογητή υποσχέθηκε να κυκλοφορήσει ενημερώσεις ασφαλείας που αντιμετωπίζουν το πρόβλημα τον Δεκέμβριο του 2023.
Πληροφορίες InfectedSlurs
Το “InfectedSlurs”, που ονομάζεται έτσι λόγω της χρήσης προσβλητικής γλώσσας στους τομείς C2 (εντολές και έλεγχος) και σε σκληρά κωδικοποιημένες συμβολοσειρές, είναι μια παραλλαγή του JenX Mirai.
Η Akamai αναφέρει ότι η υποδομή C2 της είναι σχετικά συγκεντρωμένη και φαίνεται επίσης να υποστηρίζει τις λειτουργίες hailBot.
Η ανάλυση αποκάλυψε έναν πλέον διαγραμμένο λογαριασμό Telegram που συνδέεται με το σύμπλεγμα στο Telegram.
Ο χειριστής InfectedSlurs προκαλεί τους άλλους σε μια “μάχη με κάδο”
(Ακαμάι)
Ο χρήστης δημοσίευσε επίσης στιγμιότυπα οθόνης που δείχνουν σχεδόν δέκα χιλιάδες bots στο πρωτόκολλο Telnet και άλλα 12.000 σε συγκεκριμένους τύπους/μάρκες συσκευών που αναφέρονται ως “Vacron”, “ntel” και “UTT-Bots”.
Ο Akamai λέει ότι η ανάλυση των δειγμάτων bot που έπιασε τον Οκτώβριο του 2023 δείχνει ελάχιστες τροποποιήσεις κώδικα σε σύγκριση με το αρχικό botnet Mirai, επομένως είναι ένα αυτοδιαδιδόμενο εργαλείο DDoS που υποστηρίζει επιθέσεις χρησιμοποιώντας
πλημμύρες
αιτημάτων SYN, UDP και HTTP GET.
Όπως το Mirai, το InfectedSlurs δεν περιλαμβάνει μηχανισμό επιμονής. Δεδομένης της έλλειψης
ενημέρωση
ς κώδικα για τις επηρεαζόμενες συσκευές, η επανεκκίνηση των συσκευών NVR και rooter θα πρέπει να διακόψει προσωρινά το botnet.
VIA:
bleepingcomputer.com