InfectedSlurs Botnet

Una botnet malware scoperta di recente, "InfectedSlurs", sta sfruttando due vulnerabilità zero-day per Remote Code Execution (RCE) per compromettere router e dispositivi di registrazione video (NVR). Questo software minaccioso prende il controllo dei dispositivi infetti, incorporandoli in uno sciame DDoS (Distributed Denial of Service), probabilmente affittato a scopo di lucro. Gli analisti suggeriscono che i primi segni di attività della botnet risalgono alla fine del 2022, ma è stata scoperta per la prima volta nell’ottobre 2023.

La botnet InfectedSlurs è riuscita a rimanere nascosta

Gli analisti hanno rilevato un comportamento sospetto che coinvolgeva sonde a bassa frequenza che tentavano l'autenticazione tramite richieste POST, seguite da un tentativo di iniezione di comandi. Utilizzando i dati disponibili, i ricercatori hanno condotto una scansione completa su Internet e hanno identificato che i dispositivi interessati erano associati a uno specifico produttore di NVR. I risultati hanno indicato che la botnet sfrutta una vulnerabilità RCE (Remote Code Execution) non segnalata per ottenere l’accesso non autorizzato al dispositivo.

Dopo un esame più attento, è stato rivelato che il malware sfrutta le credenziali predefinite presenti nei manuali del fornitore per vari prodotti NVR. Utilizza queste credenziali per installare un client bot ed eseguire altre azioni dannose. Approfondendo ulteriormente l'indagine, è emerso che la botnet prende di mira anche un router LAN wireless ampiamente utilizzato, popolare tra gli utenti domestici e gli hotel. Questo router è suscettibile a un'altra falla RCE zero-day sfruttata dal malware per le sue attività.

InfectedSlurs mostra piccoli miglioramenti rispetto a Mirai

Il malware identificato, soprannominato "InfectedSlurs" dai ricercatori, ha preso il nome dall'utilizzo del linguaggio offensivo presente nei domini Command-and-Control (C2, C&C) e nelle stringhe codificate. L’infrastruttura C2, che sembra facilitare anche le operazioni di hailBot, mostra una notevole concentrazione. Questa minaccia è identificata come una variante JenX Mirai. Inoltre, un'indagine ha scoperto un account Telegram associato al cluster, sebbene da allora l'account sia stato cancellato.

L'utente dietro l'account ha condiviso screenshot che rivelano quasi diecimila bot che utilizzano il protocollo Telnet e altri 12.000 bot che prendono di mira tipi/marchi di dispositivi specifici come "Vacron", "ntel" e "UTT-Bots".

Dopo l'analisi, sono state identificate modifiche minime del codice rispetto alla botnet Mirai originale, indicando che InfectedSlurs funziona come uno strumento DDoS auto-propagante. Supporta attacchi che utilizzano inondazioni di richieste SYN, UDP e HTTP GET.

Similmente a Mirai, InfectedSlurs non dispone di un meccanismo di persistenza. Poiché non sono disponibili patch per i dispositivi interessati, è possibile interrompere temporaneamente la botnet riavviando i dispositivi NVR e router.