Ботнет InfectedSlurs

Наскоро открит ботнет за злонамерен софтуер, „InfectedSlurs“, използва две уязвимости от нулев ден за отдалечено изпълнение на код (RCE), за да компрометира рутери и видеорекордери (NVR). Този заплашителен софтуер поема контрола върху заразените устройства, включвайки ги в DDoS (Distributed Denial of Service) рояк, вероятно отдаван под наем за финансова печалба. Анализаторите предполагат, че най-ранните признаци на активност на ботнет датират от края на 2022 г., но той е открит за първи път през октомври 2023 г.

Ботнетът InfectedSlurs успя да остане под радара

Анализаторите откриха подозрително поведение, включващо нискочестотни сонди, опитващи се да удостоверят автентичността чрез POST заявки, последвани от опит за инжектиране на команда. Използвайки наличните данни, изследователите извършиха цялостно сканиране в интернет и установиха, че засегнатите устройства са свързани с конкретен производител на NVR. Техните констатации показват, че ботнетът използва неотчетена уязвимост при дистанционно изпълнение на код (RCE), за да получи неоторизиран достъп до устройството.

При по-внимателна проверка беше разкрито, че зловредният софтуер се възползва от идентификационните данни по подразбиране, намерени в ръководствата на доставчика за различни NVR продукти. Той използва тези идентификационни данни, за да инсталира бот клиент и да извърши други злонамерени действия. Задълбочавайки се в разследването, беше разкрито, че ботнетът е насочен и към широко използван безжичен LAN рутер, популярен сред домашните потребители и хотели. Този рутер е податлив на друг RCE дефект от нулев ден, използван от злонамерения софтуер за неговите дейности.

InfectedSlurs показва малки подобрения спрямо Mirai

Идентифицираният зловреден софтуер, наречен „InfectedSlurs“ от изследователите, спечели името си от използването на обиден език, присъстващ в домейните за командване и управление (C2, C&C) и твърдо кодирани низове. Инфраструктурата C2, която също изглежда улеснява операциите на hailBot, показва забележителна концентрация. Тази заплаха е идентифицирана като вариант на JenX Mirai. Освен това разследване разкри акаунт в Telegram, свързан с клъстера, въпреки че акаунтът оттогава е изтрит.

Потребителят зад акаунта сподели екранни снимки, разкриващи близо десет хиляди бота, използващи протокола Telnet и допълнителни 12 000 бота, насочени към специфични типове/марки устройства като „Vacron“, „ntel“ и „UTT-ботове“.

При анализ бяха идентифицирани минимални модификации на кода в сравнение с оригиналния Mirai Botnet , което показва, че InfectedSlurs работи като саморазпространяващ се DDoS инструмент. Той поддържа атаки, използващи SYN, UDP и HTTP GET наводнения.

Подобно на Mirai, InfectedSlurs няма механизъм за устойчивост. Тъй като няма наличен пач за засегнатите устройства, временно прекъсване на ботнет може да се постигне чрез рестартиране на NVR и рутер устройства.