InfectedSlurs Botnet

בוטנט של תוכנות זדוניות שהתגלו לאחרונה, 'InfectedSlurs', ממנפת שתי נקודות תורפה של יום אפס עבור ביצוע קוד מרחוק (RCE) כדי לסכן נתבים ומכשירי מקליט וידאו (NVR). התוכנה המאיימת הזו משתלטת על המכשירים הנגועים, ומשלבת אותם בנחיל DDoS (Distributed Denial of Service), שככל הנראה מושכר למטרות רווח כספי. אנליסטים מצביעים על כך שסימני הפעילות המוקדמים ביותר של ה-botnet נעוצים עד סוף 2022, אך הוא נחשף לראשונה באוקטובר 2023.

רשת הבוטנט InfectedSlurs הצליחה להישאר מתחת לרדאר

אנליסטים זיהו התנהגות חשודה הכוללת בדיקות בתדירות נמוכה המנסות אימות באמצעות בקשות POST, ולאחר מכן מאמץ הזרקת פקודה. תוך שימוש בנתונים הזמינים, החוקרים ערכו סריקה מקיפה ברחבי האינטרנט וזיהו שהמכשירים המושפעים היו קשורים ליצרן NVR ספציפי. הממצאים שלהם הצביעו על כך שה-botnet מנצל פגיעות של ביצוע קוד מרחוק (RCE) שלא דווח על מנת להשיג כניסה לא מורשית למכשיר.

לאחר בדיקה מעמיקה יותר, התברר שהתוכנה הזדונית מנצלת את אישורי ברירת המחדל המצויים במדריכים של הספק עבור מוצרי NVR שונים. הוא מנצל את האישורים האלה כדי להתקין לקוח בוט ולבצע פעולות זדוניות אחרות. בהמשך התעמקות בחקירה, נחשף כי הבוטנט מכוון גם לנתב LAN אלחוטי בשימוש נרחב, פופולרי בקרב משתמשים ביתיים ובתי מלון. נתב זה חשוף לפגם RCE נוסף בן יום אפס המנוצל על ידי התוכנה הזדונית לפעילותה.

InfectedSlurs מציג שיפורים קטנים ביחס למיראי

התוכנה הזדונית שזוהתה, שכונתה על ידי חוקרים 'InfectedSlurs', קיבלה את שמה משימוש בשפה פוגענית הקיימת בדומיינים של Command-and-Control (C2, C&C) ובמחרוזות מקודדות. תשתית C2, שנראה שגם מקלה על פעולות hailBot, מציגה ריכוז בולט. איום זה מזוהה כגרסה של JenX Mirai. בנוסף, חקירה חשפה חשבון טלגרם המשויך לאשכול, למרות שהחשבון נמחק מאז.

המשתמש מאחורי החשבון שיתף צילומי מסך שחושפים קרוב לעשרת אלפים בוטים המשתמשים בפרוטוקול Telnet ועוד 12,000 בוטים המכוונים לסוגי מכשירים/מותגים ספציפיים כגון 'Vacron', 'ntel' ו-'UTT-Bots'.

לאחר ניתוח, זוהו שינויי קוד מינימליים בהשוואה ל- Mirai Botnet המקורי, מה שמצביע על כך ש-InfectedSlurs פועל ככלי DDoS להפצה עצמית. הוא תומך בהתקפות המשתמשות בהצפות בקשות SYN, UDP ו-HTTP GET.

בדומה ל-Mirai, ל-InfectedSlurs חסר מנגנון התמדה. מכיוון שאין תיקון זמין עבור המכשירים המושפעים, ניתן להשיג שיבוש זמני של ה-botnet על ידי הפעלה מחדש של התקני NVR ונתב.