Νέο botnet malware εκμεταλλεύεται two-zero-days για να μολύνει NVR και Routers

Ένα νέο botnet malware, με την ονομασία “InfectedSlurs”, βασίζεται στο Mirai και εκμεταλλεύεται two zero-days απομακρυσμένης εκτέλεσης κώδικα (RCE), προκειμένου να μολύνει routers και NVR (συσκευές εγγραφής βίντεο).

Αυτό το κακόβουλο λογισμικό αποσπά τις συσκευές για να τις εντάξει σε ένα σμήνος DDoS, με σκοπό την κερδοφορία. Η ανακάλυψη του “InfectedSlurs” έγινε από την εταιρεία Akamai, η οποία το εντόπισε για πρώτη φορά στα honeypots της προς το τέλος του Οκτωβρίου του 2023. Ωστόσο, η αρχική δραστηριότητα του botnet προέρχεται από το τέλος του 2022.

Η εταιρεία κυβερνοασφάλειας αναφέρει ότι όσοι επηρεάζονται δεν έχουν ακόμα διορθώσει τις δύο ευπάθειες που εκμεταλλεύτηκε το κακόβουλο λογισμικό.

Δείτε επίσης: Τα DarkGate και PikaBot malware γεμίζουν το κενό που άφησε το Qakbot (QBot)

SecNewsTV

23.6K subscribers

Περισσότερα... Subscribe!

Εξερεύνηση και στόχοι

Το SIRT (Ομάδα Απάντησης Πληροφοριών Ασφαλείας) της Akamai ανακάλυψε για πρώτη φορά το botnet τον Οκτώβριο του 2023, εντοπίζοντας μια μη συνηθισμένη δραστηριότητα σε μια σπάνια θύρα TCP που επιτίθεται στα honeypots τους. Η δραστηριότητα περιλάμβανε ανιχνευτές ταυτότητας μέσω αιτημάτων POST.

Με βάση τα διαθέσιμα δεδομένα, οι αναλυτές του SIRT πραγματοποίησαν σάρωση σε ολόκληρο το διαδίκτυο και εντόπισαν ότι οι επιθετικές συσκευές ήταν συνδεδεμένες με μια συγκεκριμένη κατασκευή NVR, η οποία για λόγους ασφαλείας δεν αναφέρεται με το όνομά της. Το botnet εκμεταλλεύεται μια μη τεκμηριωμένη ευπάθεια RCE για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στις συσκευές.

Το SIRT πραγματοποίησε μια γρήγορη έρευνα για το CVE που επηρεάζει τις συσκευές NVR και ανακάλυψε ότι εντοπίστηκε ένα νέο two zero-days exploit. Η Akamai αναφέρει: “Ο προμηθευτής μας, μας ενημέρωσε ότι εργάζεται για μια επιδιόρθωση που αναμένεται να ολοκληρωθεί τον Δεκέμβριο του 2023.”

Περαιτέρω εξέταση αποκάλυψε ότι το κακόβουλο λογισμικό χρησιμοποιεί προεπιλεγμένα διαπιστευτήρια, τα οποία περιγράφονται στα εγχειρίδια του προμηθευτή για πολλά προϊόντα NVR, για να εγκαταστήσει ένα πρόγραμμα-πελάτη bot και να εκτελέσει άλλες κακόβουλες δραστηριότητες.

Κατά την πιο προσεκτική εξέταση της καμπάνιας, η Akamai ανακάλυψε ότι το botnet στοχεύει επίσης ένα ασύρματο LAN router που είναι δημοφιλές για οικιακή χρήση ή για χρήση σε ξενοδοχεία. Αυτό το router παρουσιάζει ένα άλλο σοβαρό πρόβλημα εκμετάλλευσης RCE two-zero-days. Ο άγνωστος προμηθευτής του router δεσμεύτηκε να κυκλοφορήσει ενημερώσεις ασφαλείας που θα αντιμετωπίσουν το πρόβλημα τον Δεκέμβριο του 2023.

Δείτε ακόμη: IPStorm: Το botnet με τους 23.000 διακομιστές καταρρίφθηκε

Λεπτομέρειες InfectedSlurs

Το “InfectedSlurs”, που ονομάζεται έτσι λόγω της χρήσης προσβλητικής γλώσσας στους τομείς C2 (εντολές και έλεγχος) και σε σκληρά κωδικοποιημένες συμβολοσειρές, αποτελεί μια παραλλαγή του JenX Mirai.

Η Akamai αναφέρει ότι η υποδομή C2 της είναι σχετικά συγκεντρωμένη και φαίνεται επίσης να υποστηρίζει τις λειτουργίες hailBot.

Αποκαλύφθηκε επίσης ένας διεγραμμένος λογαριασμός στο Telegram που συνδέεται με το συγκεκριμένο σύμπλεγμα.

Ο χρήστης επίσης δημοσίευσε στιγμιότυπα οθόνης που απεικονίζουν περίπου δέκα χιλιάδες bots στο πρωτόκολλο Telnet, καθώς και άλλα 12.000 σε συγκεκριμένους τύπους/μάρκες συσκευών, γνωστούς ως “Vacron”, “ntel” και “UTT-Bots”.

Η εταιρεία Akamai αναφέρει ότι η ανάλυση των δειγμάτων bot που ανιχνεύθηκαν τον Οκτώβριο του 2023 αποδεικνύει ότι υπάρχουν ελάχιστες τροποποιήσεις κώδικα σε σύγκριση με το αρχικό botnet Mirai. Αυτό το αυτοδιαδιδόμενο εργαλείο DDoS υποστηρίζει επιθέσεις χρησιμοποιώντας πληθώρα αιτημάτων SYN, UDP και HTTP GET. Όπως το Mirai, δεν περιλαμβάνει μηχανισμό επιμονής, έτσι λειτουργεί και το InfectedSlurs. Λόγω της έλλειψης ενημέρωσης του κώδικα για τις επηρεαζόμενες συσκευές, η προσωρινή διακοπή του botnet θα πρέπει να περιλαμβάνει την επανεκκίνηση των συσκευών NVR και router.

Διαβάστε σχετικά: LittleDrifter malware: Το νέο worm των Gamaredon hackers στοχεύει την Ουκρανία

Πηγή: bleepingcomputer.com