Botnet InfectedSlurs

Nedávno objevený malwarový botnet „InfectedSlurs“ využívá dvě zranitelnosti zero-day pro Remote Code Execution (RCE) ke kompromitaci směrovačů a videorekordérů (NVR). Tento ohrožující software převezme kontrolu nad infikovanými zařízeními a začlení je do roje DDoS (Distributed Denial of Service), pravděpodobně pronajímaného za účelem finančního zisku. Analytici naznačují, že první známky aktivity botnetu sahají do konce roku 2022, ale poprvé byly odhaleny v říjnu 2023.

Botnetu InfectedSlurs se podařilo zůstat pod radarem

Analytici odhalili podezřelé chování zahrnující nízkofrekvenční sondy pokoušející se o ověření prostřednictvím požadavků POST, po kterém následovalo pokus o vložení příkazu. S využitím dostupných dat provedli výzkumníci komplexní skenování napříč internetem a zjistili, že dotčená zařízení byla spojena s konkrétním výrobcem NVR. Jejich zjištění ukázala, že botnet využívá neohlášenou zranitelnost vzdáleného spuštění kódu (RCE) k získání neoprávněného vstupu do zařízení.

Po bližším prozkoumání se ukázalo, že malware využívá výchozí přihlašovací údaje, které se nacházejí v příručkách dodavatele pro různé produkty NVR. Využívá tyto přihlašovací údaje k instalaci klienta bota a provádění dalších škodlivých akcí. Při dalším zkoumání bylo zjištěno, že botnet se zaměřuje také na široce používaný bezdrátový LAN router, oblíbený mezi domácími uživateli a hotely. Tento router je náchylný k další chybě zero-day RCE, kterou malware využívá ke své činnosti.

InfectedSlurs vykazuje malá vylepšení oproti Mirai

Identifikovaný malware, nazvaný výzkumníky „InfectedSlurs“, získal své jméno díky použití urážlivého jazyka přítomného v doménách Command-and-Control (C2, C&C) a pevně zakódovaných řetězců. Infrastruktura C2, která, jak se zdá, také usnadňuje operace hailBot, vykazuje pozoruhodnou koncentraci. Tato hrozba je identifikována jako varianta JenX Mirai. Vyšetřování navíc odhalilo účet telegramu spojený s clusterem, ačkoli účet byl od té doby smazán.

Uživatel za účtem sdílel snímky obrazovky odhalující téměř deset tisíc robotů používajících protokol Telnet a dalších 12 000 robotů zaměřených na konkrétní typy/značky zařízení, jako jsou „Vacron“, „ntel“ a „UTT-Bots“.

Po analýze byly identifikovány minimální modifikace kódu ve srovnání s původním Mirai Botnet , což naznačuje, že InfectedSlurs funguje jako samostatně se šířící nástroj DDoS. Podporuje útoky využívající záplavy požadavků SYN, UDP a HTTP GET.

Podobně jako Mirai, InfectedSlurs postrádá mechanismus persistence. Vzhledem k tomu, že pro postižená zařízení není k dispozici žádná oprava, lze dočasného narušení botnetu dosáhnout restartováním zařízení NVR a routerů.