Infected Slurs Botnet

Una botnet de programari maliciós descobert recentment, 'InfectedSlurs', està aprofitant dues vulnerabilitats de dia zero per a l'execució de codi remota (RCE) per comprometre els encaminadors i els dispositius de gravació de vídeo (NVR). Aquest programari amenaçador pren el control dels dispositius infectats, incorporant-los a un eixam DDoS (Denegació de servei distribuïda), probablement llogat per obtenir guanys econòmics. Els analistes suggereixen que els primers signes d'activitat de la botnet es remunten a finals de 2022, però es va descobrir per primera vegada l'octubre de 2023.

La botnet InfectedSlurs havia aconseguit romandre sota el radar

Els analistes van detectar un comportament sospitós que implicava sondes de baixa freqüència que intentaven l'autenticació mitjançant sol·licituds POST, seguida d'una injecció d'ordres. Utilitzant les dades disponibles, els investigadors van realitzar una exploració completa a Internet i van identificar que els dispositius afectats estaven associats a un fabricant específic de NVR. Les seves troballes van indicar que la botnet explota una vulnerabilitat d'execució de codi remota (RCE) no informada per obtenir una entrada no autoritzada al dispositiu.

Després d'una inspecció més detallada, es va revelar que el programari maliciós aprofita les credencials predeterminades que es troben als manuals del venedor per a diversos productes NVR. Utilitza aquestes credencials per instal·lar un client bot i dur a terme altres accions malicioses. Aprofundint en la investigació, es va descobrir que la botnet també s'adreça a un encaminador de LAN sense fil molt utilitzat, popular entre els usuaris domèstics i els hotels. Aquest encaminador és susceptible a un altre defecte RCE de dia zero explotat pel programari maliciós per a les seves activitats.

InfectedSlurs mostra petites millores respecte a Mirai

El programari maliciós identificat, anomenat "InfectedSlurs" pels investigadors, es va guanyar el seu nom per la utilització del llenguatge ofensiu present als dominis Command-and-Control (C2, C&C) i les cadenes codificades. La infraestructura C2, que també sembla facilitar les operacions de hailBot, mostra una concentració notable. Aquesta amenaça s'identifica com una variant de JenX Mirai. A més, una investigació ha descobert un compte de Telegram associat al clúster, tot i que des de llavors s'ha suprimit.

L'usuari darrere del compte va compartir captures de pantalla que revelaven prop de deu mil robots que utilitzaven el protocol Telnet i 12.000 bots addicionals dirigits a tipus/marques de dispositius específics com ara "Vacron", "ntel" i "UTT-Bots".

Després de l'anàlisi, es van identificar modificacions mínimes del codi en comparació amb la Mirai Botnet original, cosa que indica que InfectedSlurs funciona com una eina DDoS autopropagada. Admet atacs que utilitzen inundacions de sol·licituds SYN, UDP i HTTP GET.

Similar a Mirai, InfectedSlurs no té un mecanisme de persistència. Com que no hi ha cap pegat disponible per als dispositius afectats, es pot interrompre temporalment la botnet reiniciant els dispositius NVR i encaminadors.