InfectedSlurs-bottiverkko

Äskettäin löydetty haittaohjelmien robottiverkko InfectedSlurs hyödyntää kahta nollapäivän haavoittuvuutta Remote Code Execution (RCE) -toiminnolle vaarantaakseen reitittimien ja videonauhureiden (NVR) laitteet. Tämä uhkaava ohjelmisto ottaa tartunnan saaneet laitteet hallintaansa ja liittää ne DDoS (Distributed Denial of Service) -parveen, joka todennäköisesti vuokrataan taloudellisen hyödyn vuoksi. Analyytikot ehdottavat, että bottiverkon varhaisimmat merkit toiminnan alkamisesta juontavat juurensa vuoden 2022 lopulle, mutta se paljastui ensimmäisen kerran lokakuussa 2023.

InfectedSlurs-bottiverkko oli onnistunut pysymään tutkan alla

Analyytikot havaitsivat epäilyttävän toiminnan, jossa matalataajuiset anturit yrittivät todentaa POST-pyyntöjen kautta, minkä jälkeen komennon lisäysyritys. Käytettävissä olevien tietojen perusteella tutkijat suorittivat kattavan skannauksen Internetissä ja havaitsivat, että kyseiset laitteet liittyivät tiettyyn NVR-valmistajaan. Heidän havainnot osoittivat, että botnet hyödyntää RCE-haavoittuvuutta päästäkseen luvattomasti laitteeseen.

Tarkemmin tarkasteltuna paljastui, että haittaohjelma hyödyntää oletustunnisteita, jotka löytyvät toimittajan eri NVR-tuotteiden käsikirjoista. Se käyttää näitä valtuustietoja bot-asiakkaan asentamiseen ja muiden haitallisten toimien suorittamiseen. Tutkimusta syvemmällä paljastui, että bottiverkko kohdistuu myös laajalti käytettyyn langattomaan LAN-reitittimeen, joka on suosittu kotikäyttäjien ja hotellien keskuudessa. Tämä reititin on herkkä toiselle nollapäivän RCE-virheelle, jota haittaohjelma käyttää hyväkseen toiminnassaan.

InfectedSlurs näyttää vähän parannuksia Miraihin verrattuna

Tunnistettu haittaohjelma, jota tutkijat kutsuvat InfectedSlursiksi, sai nimensä Command-and-Control (C2, C&C) -verkkotunnuksissa ja kovakoodatuissa merkkijonoissa olevan loukkaavan kielen käytöstä. C2-infrastruktuuri, joka näyttää myös helpottavan hailBot-toimintoja, osoittaa huomattavaa keskittymistä. Tämä uhka tunnistetaan JenX Mirai -variantiksi. Lisäksi tutkimuksessa on löydetty klusteriin liittyvä Telegram-tili, vaikka tili on sittemmin poistettu.

Tilin takana oleva käyttäjä jakoi kuvakaappauksia, joissa paljastui lähes kymmenentuhatta Telnet-protokollaa käyttävää robottia ja lisäksi 12 000 bottia, jotka kohdistettiin tiettyihin laitetyyppeihin/brändeihin, kuten "Vacron", "ntel" ja "UTT-Bots".

Analyysin perusteella havaittiin minimaalisia koodimuutoksia verrattuna alkuperäiseen Mirai Botnet -verkkoon , mikä osoittaa, että InfectedSlurs toimii itseään etenevänä DDoS-työkaluna. Se tukee hyökkäyksiä, joissa käytetään SYN-, UDP- ja HTTP GET -pyyntötulvia.

Kuten Mirai, InfectedSlursista puuttuu pysyvyysmekanismi. Koska kyseisille laitteille ei ole saatavilla korjaustiedostoa, botnet-verkko voidaan väliaikaisesti katkaista käynnistämällä NVR- ja reititinlaitteet uudelleen.