بات نت InfectedSlurs

یک بات نت بدافزار اخیراً کشف شده به نام InfectedSlurs از دو آسیب‌پذیری روز صفر برای اجرای کد از راه دور (RCE) استفاده می‌کند تا روترها و دستگاه‌های ضبط ویدیو (NVR) را به خطر بیندازد. این نرم‌افزار تهدیدکننده کنترل دستگاه‌های آلوده را در دست می‌گیرد و آن‌ها را در یک گروه DDoS (Distributed Denial of Service) ترکیب می‌کند که احتمالاً برای منافع مالی اجاره داده شده است. تحلیلگران پیشنهاد می‌کنند که اولین نشانه‌های فعالیت این بات‌نت به اواخر سال ۲۰۲۲ بازمی‌گردد، اما اولین بار در اکتبر ۲۰۲۳ کشف شد.

بات نت InfectedSlurs موفق شده بود زیر رادار باقی بماند

تحلیلگران رفتار مشکوکی را شناسایی کردند که شامل پروب‌های فرکانس پایین بود که از طریق درخواست‌های POST احراز هویت می‌کردند و به دنبال آن تلاشی برای تزریق دستور انجام می‌شد. با استفاده از داده های موجود، محققان یک اسکن جامع در سراسر اینترنت انجام دادند و شناسایی کردند که دستگاه های آسیب دیده با یک سازنده NVR خاص مرتبط هستند. یافته‌های آن‌ها نشان داد که بات‌نت از یک آسیب‌پذیری گزارش‌نشده اجرای کد از راه دور (RCE) برای ورود غیرمجاز به دستگاه سوء استفاده می‌کند.

با بررسی دقیق تر، مشخص شد که این بدافزار از اعتبارنامه های پیش فرض موجود در کتابچه راهنمای فروشنده برای محصولات مختلف NVR استفاده می کند. از این اعتبار برای نصب یک کلاینت ربات و انجام سایر اقدامات مخرب استفاده می کند. با بررسی بیشتر در تحقیقات، مشخص شد که بات نت همچنین یک روتر LAN بی سیم پرکاربرد را هدف قرار می دهد که در بین کاربران خانگی و هتل ها محبوب است. این روتر در معرض یک نقص دیگر RCE روز صفر است که توسط بدافزار برای فعالیت های خود مورد سوء استفاده قرار می گیرد.

InfectedSlurs پیشرفت های کمی را نسبت به Mirai نشان می دهد

بدافزار شناسایی‌شده که توسط محققان «InfectedSlurs» نامیده می‌شود، نام خود را از استفاده از زبان توهین‌آمیز موجود در دامنه‌های Command-and-Control (C2, C&C) و رشته‌های رمزگذاری شده به دست آورده است. زیرساخت C2، که به نظر می رسد عملیات hailBot را نیز تسهیل می کند، تمرکز قابل توجهی را نشان می دهد. این تهدید به عنوان یک نوع JenX Mirai شناخته می شود. علاوه بر این، تحقیقات یک حساب کاربری تلگرام مرتبط با خوشه را کشف کرده است، اگرچه این حساب از آن زمان حذف شده است.

کاربر پشت حساب اسکرین شات هایی را به اشتراک گذاشت که نزدیک به ده هزار ربات را با استفاده از پروتکل Telnet و 12000 ربات دیگر که انواع دستگاه/برندهای خاص مانند "Vacron"، "ntel" و "UTT-Bots" را هدف قرار می دهند، به اشتراک گذاشت.

پس از تجزیه و تحلیل، حداقل تغییرات کد در مقایسه با بات نت اصلی Mirai شناسایی شد که نشان می دهد InfectedSlurs به عنوان یک ابزار DDoS خود انتشار عمل می کند. از حملاتی که از سیل درخواست SYN، UDP و HTTP GET استفاده می کنند، پشتیبانی می کند.

مشابه Mirai، InfectedSlurs فاقد مکانیزم ماندگاری است. از آنجایی که هیچ وصله‌ای برای دستگاه‌های آسیب‌دیده وجود ندارد، می‌توان با راه‌اندازی مجدد دستگاه‌های NVR و روتر به طور موقت بات‌نت را مختل کرد.