InfectedSlurs Botnet

최근 발견된 악성 코드 봇넷인 'InfectedSlurs'는 RCE(원격 코드 실행)에 대한 두 가지 제로데이 취약점을 활용하여 라우터 및 비디오 레코더(NVR) 장치를 손상시키고 있습니다. 이 위협적인 소프트웨어는 감염된 장치를 제어하여 금전적 이익을 위해 임대한 DDoS(분산 서비스 거부) 떼에 통합합니다. 분석가들은 봇넷의 초기 활동 징후가 2022년 말까지 거슬러 올라가지만 2023년 10월에 처음 발견되었다고 제안합니다.

InfectedSlurs 봇넷은 레이더에 노출되지 않았습니다.

분석가들은 저주파 프로브가 POST 요청을 통해 인증을 시도한 후 명령 삽입 시도와 관련된 의심스러운 동작을 감지했습니다. 연구자들은 사용 가능한 데이터를 활용하여 인터넷을 통해 포괄적인 스캔을 수행한 후 영향을 받은 장치가 특정 NVR 제조업체와 연관되어 있음을 확인했습니다. 조사 결과에 따르면 봇넷은 보고되지 않은 원격 코드 실행(RCE) 취약점을 악용하여 장치에 무단으로 침입하는 것으로 나타났습니다.

자세히 조사한 결과, 악성코드는 다양한 NVR 제품에 대한 공급업체 설명서에 있는 기본 자격 증명을 활용하는 것으로 나타났습니다. 이러한 자격 증명을 활용하여 봇 클라이언트를 설치하고 기타 악의적인 작업을 수행합니다. 조사를 더 자세히 조사한 결과, 봇넷은 가정 사용자와 호텔에서 널리 사용되는 무선 LAN 라우터도 표적으로 삼는 것으로 나타났습니다. 이 라우터는 악성코드가 활동을 위해 악용하는 또 다른 제로데이 RCE 결함에 취약합니다.

InfectedSlurs는 Mirai에 비해 거의 개선되지 않았습니다.

연구원들이 'InfectedSlurs'라고 명명한 식별된 악성 코드는 명령 및 제어(C2, C&C) 도메인과 하드코딩된 문자열에 존재하는 공격적인 언어를 활용하여 그 이름을 얻었습니다. hailBot 운영을 용이하게 하는 것으로 보이는 C2 인프라는 주목할만한 집중력을 보여줍니다. 이 위협은 JenX Mirai 변종으로 식별됩니다. 또한 조사 결과 해당 클러스터와 연결된 텔레그램 계정이 발견되었지만 해당 계정은 이후 삭제되었습니다.

계정 뒤의 사용자는 Telnet 프로토콜을 사용하는 약 10,000개의 봇과 'Vacron', 'ntel' 및 'UTT-Bots'와 같은 특정 장치 유형/브랜드를 표적으로 삼는 추가 12,000개의 봇을 보여주는 스크린샷을 공유했습니다.

분석 결과 원본 Mirai Botnet 과 비교하여 최소한의 코드 수정이 확인되었으며, 이는 InfectedSlurs가 자체 전파 DDoS 도구로 작동함을 나타냅니다. SYN, UDP 및 HTTP GET 요청 플러드를 사용하는 공격을 지원합니다.

Mirai와 유사하게 InfectedSlurs에는 지속성 메커니즘이 없습니다. 영향을 받는 장치에 사용 가능한 패치가 없으므로 NVR 및 라우터 장치를 재부팅하면 봇넷을 일시적으로 중단시킬 수 있습니다.