InfectedSlurs Botnet

Nedavno otkriven malware botnet, 'InfectedSlurs', iskorištava dvije ranjivosti nultog dana za daljinsko izvršavanje koda (RCE) za kompromitiranje usmjerivača i uređaja za snimanje video zapisa (NVR). Ovaj prijeteći softver preuzima kontrolu nad zaraženim uređajima, uključuje ih u DDoS (Distributed Denial of Service) roj, koji se vjerojatno iznajmljuje radi financijske dobiti. Analitičari sugeriraju da najraniji znakovi aktivnosti botneta potječu iz kasne 2022., ali je prvi put otkriven u listopadu 2023.

Botnet InfectedSlurs uspio je ostati ispod radara

Analitičari su otkrili sumnjivo ponašanje koje uključuje niskofrekventne sonde koje pokušavaju autentifikaciju putem POST zahtjeva, nakon čega slijedi pokušaj ubacivanja naredbe. Koristeći dostupne podatke, istraživači su proveli sveobuhvatno skeniranje interneta i utvrdili da su pogođeni uređaji povezani s određenim proizvođačem NVR-a. Njihova otkrića pokazala su da botnet iskorištava ranjivost neprijavljenog daljinskog izvršavanja koda (RCE) kako bi neovlašteno ušao u uređaj.

Nakon detaljnijeg pregleda, otkriveno je da zlonamjerni softver iskorištava zadane vjerodajnice koje se nalaze u priručnicima dobavljača za razne NVR proizvode. Koristi te vjerodajnice za instaliranje bot klijenta i izvođenje drugih zlonamjernih radnji. Udubljujući se dalje u istragu, otkriveno je da botnet također cilja široko korišten bežični LAN usmjerivač, popularan među kućnim korisnicima i hotelima. Ovaj usmjerivač je osjetljiv na još jedan zero-day RCE propust koji zlonamjerni softver iskorištava za svoje aktivnosti.

InfectedSlurs pokazuje mala poboljšanja u odnosu na Mirai

Identificirani zlonamjerni softver, koji su istraživači nazvali 'InfectedSlurs', dobio je ime po korištenju uvredljivog jezika prisutnog u Command-and-Control (C2, C&C) domenama i tvrdo kodiranim nizovima. Infrastruktura C2, za koju se također čini da olakšava hailBot operacije, pokazuje značajnu koncentraciju. Ova je prijetnja identificirana kao JenX Mirai varijanta. Osim toga, istraga je otkrila Telegram račun povezan s klasterom, iako je račun u međuvremenu izbrisan.

Korisnik iza računa podijelio je snimke zaslona koje otkrivaju blizu deset tisuća botova koji koriste Telnet protokol i dodatnih 12.000 botova koji ciljaju određene vrste/brendove uređaja kao što su 'Vacron,' 'ntel' i 'UTT-Bots.'

Nakon analize, identificirane su minimalne izmjene koda u usporedbi s izvornim Mirai Botnetom , što ukazuje da InfectedSlurs radi kao DDoS alat koji se sam širi. Podržava napade koji koriste SYN, UDP i HTTP GET zahtjeve.

Slično kao i Mirai, InfectedSlurs nema mehanizam postojanosti. Budući da nema dostupne zakrpe za zahvaćene uređaje, privremeni prekid botneta može se postići ponovnim pokretanjem NVR-a i usmjerivača.