InfectedSlurs Botnet

हाल ही में खोजा गया मैलवेयर बॉटनेट, 'इन्फेक्टेडस्लर्स', राउटर और वीडियो रिकॉर्डर (एनवीआर) उपकरणों से समझौता करने के लिए रिमोट कोड एक्ज़ीक्यूशन (आरसीई) के लिए दो शून्य-दिन की कमजोरियों का लाभ उठा रहा है। यह खतरनाक सॉफ़्टवेयर संक्रमित उपकरणों को अपने नियंत्रण में ले लेता है और उन्हें DDoS (डिस्ट्रीब्यूटेड डिनायल ऑफ़ सर्विस) झुंड में शामिल कर लेता है, जिसे संभवतः वित्तीय लाभ के लिए किराए पर दिया जाता है। विश्लेषकों का सुझाव है कि बॉटनेट की गतिविधि के शुरुआती संकेत 2022 के अंत में मिलते हैं, लेकिन इसे पहली बार अक्टूबर 2023 में उजागर किया गया था।

InfectedSlurs Botnet रडार के नीचे रहने में कामयाब रहा था

विश्लेषकों ने POST अनुरोधों के माध्यम से प्रमाणीकरण का प्रयास करने वाली कम-आवृत्ति जांच से जुड़े संदिग्ध व्यवहार का पता लगाया, जिसके बाद कमांड इंजेक्शन प्रयास किया गया। उपलब्ध डेटा का उपयोग करते हुए, शोधकर्ताओं ने पूरे इंटरनेट पर एक व्यापक स्कैन किया और पहचाना कि प्रभावित डिवाइस एक विशिष्ट एनवीआर निर्माता से जुड़े थे। उनके निष्कर्षों से संकेत मिलता है कि बॉटनेट डिवाइस में अनधिकृत प्रवेश प्राप्त करने के लिए एक असूचित रिमोट कोड निष्पादन (आरसीई) भेद्यता का फायदा उठाता है।

करीब से निरीक्षण करने पर, यह पता चला कि मैलवेयर विभिन्न एनवीआर उत्पादों के लिए विक्रेता के मैनुअल में पाए गए डिफ़ॉल्ट क्रेडेंशियल्स का लाभ उठाता है। यह बॉट क्लाइंट स्थापित करने और अन्य दुर्भावनापूर्ण कार्यों को अंजाम देने के लिए इन क्रेडेंशियल्स का उपयोग करता है। जांच में आगे बढ़ने पर, यह पता चला कि बॉटनेट व्यापक रूप से उपयोग किए जाने वाले वायरलेस लैन राउटर को भी लक्षित करता है, जो घरेलू उपयोगकर्ताओं और होटलों के बीच लोकप्रिय है। यह राउटर अपनी गतिविधियों के लिए मैलवेयर द्वारा शोषण किए गए एक और शून्य-दिवसीय आरसीई दोष के प्रति संवेदनशील है।

InfectedSlurs ने मिराई की तुलना में थोड़ा सुधार दिखाया है

पहचाने गए मैलवेयर, जिसे शोधकर्ताओं ने 'इन्फेक्टेडस्लर्स' करार दिया है, ने कमांड-एंड-कंट्रोल (सी2, सीएंडसी) डोमेन और हार्डकोडेड स्ट्रिंग्स में मौजूद आक्रामक भाषा के उपयोग से अपना नाम कमाया। C2 बुनियादी ढांचा, जो हेलबॉट संचालन की सुविधा भी प्रदान करता है, एक उल्लेखनीय एकाग्रता प्रदर्शित करता है। इस खतरे की पहचान जेनएक्स मिराई वैरिएंट के रूप में की गई है। इसके अतिरिक्त, एक जांच में क्लस्टर से जुड़े एक टेलीग्राम खाते का पता चला है, हालांकि खाता हटा दिया गया है।

खाते के पीछे के उपयोगकर्ता ने टेलनेट प्रोटोकॉल का उपयोग करने वाले करीब दस हजार बॉट्स और 'वैक्रॉन,' 'एनटेल,' और 'यूटीटी-बॉट्स' जैसे विशिष्ट डिवाइस प्रकारों/ब्रांडों को लक्षित करने वाले अतिरिक्त 12,000 बॉट्स का खुलासा करने वाले स्क्रीनशॉट साझा किए।

विश्लेषण करने पर, मूल मिराई बॉटनेट की तुलना में न्यूनतम कोड संशोधनों की पहचान की गई, जो दर्शाता है कि InfectedSlurs एक स्व-प्रसार DDoS उपकरण के रूप में काम करता है। यह SYN, UDP और HTTP GET अनुरोध बाढ़ को नियोजित करने वाले हमलों का समर्थन करता है।

मिराई के समान, InfectedSlurs में दृढ़ता तंत्र का अभाव है। चूंकि प्रभावित उपकरणों के लिए कोई पैच उपलब्ध नहीं है, इसलिए एनवीआर और राउटर उपकरणों को रीबूट करके बॉटनेट को अस्थायी रूप से बाधित किया जा सकता है।