InfectedSlurs Botnet

Ένα botnet κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα, το «InfectedSlurs», αξιοποιεί δύο ευπάθειες μηδενικής ημέρας για την απομακρυσμένη εκτέλεση κώδικα (RCE) για να θέσει σε κίνδυνο τους δρομολογητές και τις συσκευές εγγραφής βίντεο (NVR). Αυτό το απειλητικό λογισμικό αναλαμβάνει τον έλεγχο των μολυσμένων συσκευών, ενσωματώνοντάς τες σε ένα σμήνος DDoS (Distributed Denial of Service), το οποίο πιθανότατα ενοικιάζεται για οικονομικό όφελος. Οι αναλυτές προτείνουν ότι τα πρώτα σημάδια δραστηριότητας του botnet ανάγονται στα τέλη του 2022, αλλά αποκαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2023.

Το Botnet InfectedSlurs είχε καταφέρει να παραμείνει κάτω από το ραντάρ

Οι αναλυτές εντόπισαν ύποπτη συμπεριφορά που περιελάμβανε ανιχνευτές χαμηλής συχνότητας που επιχειρούσαν έλεγχο ταυτότητας μέσω αιτημάτων POST, ακολουθούμενη από μια προσπάθεια ένεσης εντολών. Χρησιμοποιώντας τα διαθέσιμα δεδομένα, οι ερευνητές πραγματοποίησαν μια ολοκληρωμένη σάρωση στο Διαδίκτυο και εντόπισαν ότι οι επηρεαζόμενες συσκευές σχετίζονταν με έναν συγκεκριμένο κατασκευαστή NVR. Τα ευρήματά τους έδειξαν ότι το botnet εκμεταλλεύεται μια ευπάθεια μη αναφερόμενης απομακρυσμένης εκτέλεσης κώδικα (RCE) για να αποκτήσει μη εξουσιοδοτημένη είσοδο στη συσκευή.

Μετά από προσεκτικότερη εξέταση, αποκαλύφθηκε ότι το κακόβουλο λογισμικό εκμεταλλεύεται τα προεπιλεγμένα διαπιστευτήρια που βρίσκονται στα εγχειρίδια του προμηθευτή για διάφορα προϊόντα NVR. Χρησιμοποιεί αυτά τα διαπιστευτήρια για να εγκαταστήσει ένα πρόγραμμα-πελάτη bot και να πραγματοποιήσει άλλες κακόβουλες ενέργειες. Εξετάζοντας περαιτέρω την έρευνα, αποκαλύφθηκε ότι το botnet στοχεύει επίσης έναν ευρέως χρησιμοποιούμενο δρομολογητή ασύρματου LAN, δημοφιλής στους οικιακούς χρήστες και στα ξενοδοχεία. Αυτός ο δρομολογητής είναι ευαίσθητος σε ένα άλλο ελάττωμα RCE μηδενικής ημέρας που εκμεταλλεύεται το κακόβουλο λογισμικό για τις δραστηριότητές του.

Το InfectedSlurs παρουσιάζει μικρές βελτιώσεις σε σχέση με το Mirai

Το εντοπισμένο κακόβουλο λογισμικό, που ονομάστηκε «InfectedSlurs» από τους ερευνητές, κέρδισε το όνομά του από τη χρήση προσβλητικής γλώσσας που υπάρχει στους τομείς Command-and-Control (C2, C&C) και σε σκληρά κωδικοποιημένες συμβολοσειρές. Η υποδομή C2, η οποία φαίνεται επίσης να διευκολύνει τις λειτουργίες του hailBot, παρουσιάζει αξιοσημείωτη συγκέντρωση. Αυτή η απειλή προσδιορίζεται ως παραλλαγή JenX Mirai. Επιπλέον, μια έρευνα αποκάλυψε έναν λογαριασμό Telegram που σχετίζεται με το σύμπλεγμα, αν και ο λογαριασμός έχει διαγραφεί από τότε.

Ο χρήστης πίσω από τον λογαριασμό μοιράστηκε στιγμιότυπα οθόνης που αποκαλύπτουν σχεδόν δέκα χιλιάδες bots χρησιμοποιώντας το πρωτόκολλο Telnet και άλλα 12.000 bots που στοχεύουν συγκεκριμένους τύπους/μάρκες συσκευών όπως «Vacron», «ntel» και «UTT-Bots».

Μετά την ανάλυση, εντοπίστηκαν ελάχιστες τροποποιήσεις κώδικα σε σύγκριση με το αρχικό Mirai Botnet , υποδεικνύοντας ότι το InfectedSlurs λειτουργεί ως αυτοδιαδιδόμενο εργαλείο DDoS. Υποστηρίζει επιθέσεις που χρησιμοποιούν πλημμύρες αιτημάτων SYN, UDP και HTTP GET.

Παρόμοια με το Mirai, το InfectedSlurs δεν διαθέτει μηχανισμό επιμονής. Καθώς δεν υπάρχει διαθέσιμη ενημέρωση κώδικα για τις επηρεαζόμενες συσκευές, η προσωρινή διακοπή του botnet μπορεί να επιτευχθεί με επανεκκίνηση των συσκευών NVR και δρομολογητή.