InfectedSlurs botnet

A közelmúltban felfedezett rosszindulatú botnet, az „InfectedSlurs” két nulladik napi sebezhetőséget használ a távoli kódvégrehajtáshoz (RCE), hogy kompromittálja az útválasztókat és a videorögzítő (NVR) eszközöket. Ez a fenyegető szoftver átveszi az irányítást a fertőzött eszközök felett, és beépíti őket egy DDoS (Distributed Denial of Service) rajba, amelyet valószínűleg anyagi haszonszerzés céljából bérelnek. Elemzők szerint a botnet tevékenységének legkorábbi jelei 2022 végénre vezethetők vissza, de először 2023 októberében fedezték fel.

Az InfectedSlurs botnetnek sikerült a radar alatt maradnia

Az elemzők gyanús viselkedést észleltek, amelyben alacsony frekvenciájú szondák POST-kéréseken keresztül próbáltak hitelesíteni, majd parancsinjekciós próbálkozás következett. A rendelkezésre álló adatok felhasználásával a kutatók átfogó vizsgálatot végeztek az interneten, és megállapították, hogy az érintett eszközök egy adott NVR-gyártóhoz kapcsolódnak. Eredményeik azt mutatták, hogy a botnet egy be nem jelentett távoli kódvégrehajtási (RCE) sebezhetőséget használ ki, hogy illetéktelenül bejusson az eszközbe.

Közelebbről megvizsgálva kiderült, hogy a rosszindulatú program kihasználja a különböző NVR-termékek gyártói kézikönyveiben található alapértelmezett hitelesítő adatokat. Ezeket a hitelesítő adatokat használja fel egy botkliens telepítéséhez és egyéb rosszindulatú műveletek végrehajtásához. A vizsgálatot tovább kutatva kiderült, hogy a botnet egy széles körben használt vezeték nélküli LAN-útválasztót is céloz, amely népszerű az otthoni felhasználók és a szállodák körében. Ez az útválasztó érzékeny egy másik nulladik napos RCE hibára, amelyet a rosszindulatú program a tevékenységéhez használt ki.

Az InfectedSlurs kis javulást mutat a Miraihoz képest

Az azonosított kártevő, amelyet a kutatók „InfectedSlurs”-nek neveztek el, a Command-and-Control (C2, C&C) tartományokban található sértő nyelvhasználatról és a kemény kódolt karakterláncokról kapta a nevét. A C2 infrastruktúra, amely a hailBot működését is megkönnyíti, jelentős koncentrációt mutat. Ezt a fenyegetést a JenX Mirai változataként azonosították. Ezenkívül egy vizsgálat feltárt egy, a klaszterhez társított Telegram-fiókot, bár a fiókot azóta törölték.

A fiók mögött álló felhasználó megosztott egy képernyőképet, amely közel tízezer Telnet protokollt használó robotot és további 12 000 olyan robotot osztott meg, amelyek meghatározott eszköztípusokat/márkákat céloznak meg, mint például a „Vacron”, „ntel” és „UTT-Bots”.

Az elemzés során minimális kódmódosítást azonosítottak az eredeti Mirai Botnethez képest, ami azt jelzi, hogy az InfectedSlurs önterjesztő DDoS eszközként működik. Támogatja a SYN-t, UDP-t és HTTP GET-kérelmeket alkalmazó támadásokat.

A Miraihoz hasonlóan az InfectedSlurs-ban is hiányzik a perzisztencia mechanizmusa. Mivel az érintett eszközökhöz nincs elérhető javítás, a botnet ideiglenes megszakítása az NVR és az útválasztó eszközök újraindításával érhető el.