InfectedSlurs Botnet

Et nyligt opdaget malware-botnet, 'InfectedSlurs', udnytter to nul-dages sårbarheder til Remote Code Execution (RCE) for at kompromittere routere og videooptagerenheder (NVR). Denne truende software tager kontrol over de inficerede enheder og inkorporerer dem i en DDoS-sværm (Distributed Denial of Service), sandsynligvis lejet ud for økonomisk vinding. Analytikere antyder, at botnettets tidligste tegn på aktivitet spores tilbage til slutningen af 2022, men det blev først afsløret i oktober 2023.

InfectedSlurs Botnet havde formået at forblive under radaren

Analytikere opdagede mistænkelig adfærd, der involverede lavfrekvente sonder, der forsøgte godkendelse gennem POST-anmodninger, efterfulgt af en kommandoindsprøjtning. Ved at bruge de tilgængelige data gennemførte forskere en omfattende scanning på tværs af internettet og identificerede, at de berørte enheder var forbundet med en specifik NVR-producent. Deres resultater indikerede, at botnettet udnytter en urapporteret remote code execution (RCE) sårbarhed til at få uautoriseret adgang til enheden.

Ved nærmere eftersyn blev det afsløret, at malwaren udnytter de standardoplysninger, der findes i leverandørens manualer for forskellige NVR-produkter. Den bruger disse legitimationsoplysninger til at installere en botklient og udføre andre ondsindede handlinger. Ved at dykke længere ned i undersøgelsen blev det afsløret, at botnettet også er rettet mod en meget brugt trådløs LAN-router, populær blandt hjemmebrugere og hoteller. Denne router er modtagelig for en anden nul-dages RCE-fejl, der udnyttes af malwaren til dens aktiviteter.

InfectedSlurs viser små forbedringer i forhold til Mirai

Den identificerede malware, kaldet 'InfectedSlurs' af forskere, har fået sit navn fra brugen af stødende sprog, der findes i Command-and-Control (C2, C&C) domæner og hårdkodede strenge. C2-infrastrukturen, som også synes at lette hailBot-operationer, udviser en bemærkelsesværdig koncentration. Denne trussel er identificeret som en JenX Mirai-variant. Derudover har en undersøgelse afsløret en Telegram-konto forbundet med klyngen, selvom kontoen siden er blevet slettet.

Brugeren bag kontoen delte skærmbilleder, der afslørede tæt på ti tusinde bots ved hjælp af Telnet-protokollen og yderligere 12.000 bots målrettet mod specifikke enhedstyper/mærker såsom 'Vacron', 'ntel' og 'UTT-Bots'.

Ved analyse blev minimale kodeændringer identificeret sammenlignet med det originale Mirai Botnet , hvilket indikerer, at InfectedSlurs fungerer som et selvudbredende DDoS-værktøj. Det understøtter angreb, der anvender SYN, UDP og HTTP GET-anmodningsoversvømmelser.

I lighed med Mirai mangler InfectedSlurs en persistensmekanisme. Da der ikke er nogen tilgængelig patch til de berørte enheder, kan en midlertidig afbrydelse af botnettet opnås ved at genstarte NVR og routerenheder.