InfectedSlurs Botnet

সম্প্রতি আবিষ্কৃত একটি ম্যালওয়্যার বটনেট, 'InfectedSlurs,' রাউটার এবং ভিডিও রেকর্ডার (NVR) ডিভাইসগুলির সাথে আপস করার জন্য রিমোট কোড এক্সিকিউশন (RCE) এর জন্য দুটি শূন্য-দিনের দুর্বলতা ব্যবহার করছে৷ এই হুমকি সফ্টওয়্যারটি সংক্রামিত ডিভাইসগুলির নিয়ন্ত্রণ নেয়, সেগুলিকে একটি DDoS (ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস) ঝাঁকে অন্তর্ভুক্ত করে, সম্ভবত আর্থিক লাভের জন্য ভাড়া দেওয়া হয়৷ বিশ্লেষকরা পরামর্শ দেন যে বটনেটের কার্যকলাপের প্রথম লক্ষণগুলি 2022 সালের শেষের দিকে ফিরে আসে, তবে এটি প্রথম 2023 সালের অক্টোবরে উন্মোচিত হয়েছিল।

সংক্রামিত স্লার্স বটনেট রাডারের অধীনে থাকতে সক্ষম হয়েছিল

বিশ্লেষকরা POST অনুরোধের মাধ্যমে প্রমাণীকরণের চেষ্টা করার জন্য কম-ফ্রিকোয়েন্সি প্রোবের সাথে জড়িত সন্দেহজনক আচরণ সনাক্ত করেছেন, তারপরে একটি কমান্ড ইনজেকশন প্রচেষ্টা। উপলব্ধ ডেটা ব্যবহার করে, গবেষকরা ইন্টারনেট জুড়ে একটি ব্যাপক স্ক্যান পরিচালনা করেছেন এবং চিহ্নিত করেছেন যে প্রভাবিত ডিভাইসগুলি একটি নির্দিষ্ট NVR প্রস্তুতকারকের সাথে যুক্ত ছিল। তাদের অনুসন্ধানগুলি ইঙ্গিত করে যে বটনেট ডিভাইসটিতে অননুমোদিত এন্ট্রি পাওয়ার জন্য একটি অরিপোর্টেড রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতাকে কাজে লাগায়।

ঘনিষ্ঠভাবে পরিদর্শন করার পরে, এটি প্রকাশিত হয়েছিল যে ম্যালওয়্যারটি বিভিন্ন NVR পণ্যগুলির জন্য বিক্রেতার ম্যানুয়ালগুলিতে পাওয়া ডিফল্ট শংসাপত্রগুলির সুবিধা নেয়৷ এটি একটি বট ক্লায়েন্ট ইনস্টল করতে এবং অন্যান্য দূষিত ক্রিয়া সম্পাদন করতে এই শংসাপত্রগুলি ব্যবহার করে। তদন্তে আরও বিস্তারিতভাবে, এটি উন্মোচিত হয়েছিল যে বটনেট একটি বহুল ব্যবহৃত ওয়্যারলেস ল্যান রাউটারকেও লক্ষ্য করে, যা বাড়ির ব্যবহারকারী এবং হোটেলগুলির মধ্যে জনপ্রিয়। এই রাউটারটি তার কার্যকলাপের জন্য ম্যালওয়্যার দ্বারা শোষিত অন্য শূন্য-দিনের RCE ত্রুটির জন্য সংবেদনশীল।

InfectedSlurs মিরাইয়ের তুলনায় সামান্য উন্নতি দেখায়

চিহ্নিত ম্যালওয়্যার, গবেষকদের দ্বারা 'InfectedSlurs' ডাব করা হয়েছে, কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) ডোমেন এবং হার্ডকোড স্ট্রিংগুলিতে উপস্থিত আপত্তিকর ভাষার ব্যবহার থেকে এর নাম অর্জন করেছে। C2 অবকাঠামো, যা হেলবট ক্রিয়াকলাপকে সহজতর করে বলে মনে হয়, একটি উল্লেখযোগ্য ঘনত্ব প্রদর্শন করে। এই হুমকি একটি JenX Mirai বৈকল্পিক হিসাবে চিহ্নিত করা হয়. উপরন্তু, একটি তদন্ত ক্লাস্টারের সাথে যুক্ত একটি টেলিগ্রাম অ্যাকাউন্ট উন্মোচন করেছে, যদিও অ্যাকাউন্টটি মুছে ফেলা হয়েছে।

অ্যাকাউন্টের পিছনের ব্যবহারকারী টেলনেট প্রোটোকল ব্যবহার করে প্রায় দশ হাজার বট এবং 'Vacron,' 'ntel,' এবং 'UTT-Bots'-এর মতো নির্দিষ্ট ডিভাইসের ধরন/ব্র্যান্ডগুলিকে লক্ষ্য করে একটি অতিরিক্ত 12,000 বট প্রকাশ করে স্ক্রিনশট শেয়ার করেছেন।

বিশ্লেষণের পরে, মূল মিরাই বটনেটের তুলনায় ন্যূনতম কোড পরিবর্তনগুলি চিহ্নিত করা হয়েছিল, যা ইঙ্গিত করে যে InfectedSlurs একটি স্ব-প্রচারকারী DDoS টুল হিসাবে কাজ করে। এটি SYN, UDP এবং HTTP GET অনুরোধ বন্যা নিযুক্ত আক্রমণ সমর্থন করে।

মিরাইয়ের মতো, সংক্রামিত স্লার্সের একটি স্থায়ী ব্যবস্থার অভাব রয়েছে। যেহেতু প্রভাবিত ডিভাইসগুলির জন্য কোনও প্যাচ উপলব্ধ নেই, তাই NVR এবং রাউটার ডিভাইসগুলি রিবুট করে সাময়িকভাবে বটনেট ব্যাহত করা সম্ভব।