InfectedSlurs الروبوتات

تستفيد شبكة الروبوتات الضارة المكتشفة مؤخرًا، "InfectedSlurs"، من اثنتين من ثغرات يوم الصفر لتنفيذ التعليمات البرمجية عن بُعد (RCE) لاختراق أجهزة التوجيه وأجهزة تسجيل الفيديو (NVR). يتحكم برنامج التهديد هذا في الأجهزة المصابة، ويدمجها في مجموعة DDoS (رفض الخدمة الموزعة)، والتي من المحتمل أن يتم تأجيرها لتحقيق مكاسب مالية. ويشير المحللون إلى أن أولى علامات نشاط الروبوتات تعود إلى أواخر عام 2022، ولكن تم اكتشافها لأول مرة في أكتوبر 2023.

تمكنت شبكة InfectedSlurs Botnet من البقاء تحت الرادار

اكتشف المحللون سلوكًا مشبوهًا يتضمن تحقيقات منخفضة التردد تحاول المصادقة من خلال طلبات POST، تليها محاولة حقن الأوامر. وباستخدام البيانات المتاحة، أجرى الباحثون فحصًا شاملاً عبر الإنترنت وحددوا أن الأجهزة المتأثرة كانت مرتبطة بشركة مصنعة محددة لمسجلات الفيديو (NVR). أشارت النتائج التي توصلوا إليها إلى أن الروبوتات تستغل ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) غير المبلغ عنها للحصول على دخول غير مصرح به إلى الجهاز.

وبعد الفحص الدقيق، تم الكشف عن أن البرامج الضارة تستفيد من بيانات الاعتماد الافتراضية الموجودة في أدلة البائع لمختلف منتجات NVR. ويستخدم بيانات الاعتماد هذه لتثبيت عميل الروبوت وتنفيذ إجراءات ضارة أخرى. وبالتعمق أكثر في التحقيق، تم الكشف عن أن شبكة الروبوتات تستهدف أيضًا جهاز توجيه LAN لاسلكيًا يستخدم على نطاق واسع، وهو شائع بين المستخدمين المنزليين والفنادق. جهاز التوجيه هذا عرضة لخلل RCE آخر في يوم الصفر تستغله البرامج الضارة في أنشطته.

يُظهر InfectedSlurs تحسينات طفيفة على Mirai

اكتسبت البرامج الضارة التي تم تحديدها، والتي أطلق عليها الباحثون اسم "InfectedSlurs"، اسمها من استخدام لغة مسيئة موجودة في نطاقات القيادة والتحكم (C2، C&C) والسلاسل المشفرة. تُظهر البنية التحتية لـ C2، والتي يبدو أنها تسهل أيضًا عمليات hailBot، تركيزًا ملحوظًا. تم تحديد هذا التهديد على أنه أحد إصدارات JenX Mirai. بالإضافة إلى ذلك، كشف التحقيق عن حساب Telegram مرتبط بالمجموعة، على الرغم من حذف الحساب منذ ذلك الحين.

شارك المستخدم الذي يقف وراء الحساب لقطات شاشة تكشف ما يقرب من عشرة آلاف روبوت باستخدام بروتوكول Telnet و12000 روبوت إضافي يستهدف أنواعًا/علامات تجارية محددة من الأجهزة مثل "Vacron" و"ntel" و"UTT-Bots".

بعد التحليل، تم تحديد الحد الأدنى من تعديلات التعليمات البرمجية مقارنة بشبكة Mirai Botnet الأصلية، مما يشير إلى أن InfectedSlurs تعمل كأداة DDoS ذاتية النشر. وهو يدعم الهجمات التي تستخدم فيضانات طلبات SYN وUDP وHTTP GET.

على غرار Mirai، يفتقر InfectedSlurs إلى آلية الثبات. نظرًا لعدم توفر تصحيح متاح للأجهزة المتأثرة، يمكن تحقيق تعطيل شبكة الروبوتات مؤقتًا عن طريق إعادة تشغيل أجهزة NVR وأجهزة التوجيه.