InfectedSlurs botnetas

Neseniai aptiktas kenkėjiškų programų botnetas „InfectedSlurs“ naudoja du nulinės dienos nuotolinio kodo vykdymo (RCE) pažeidžiamumus, kad pakenktų maršrutizatoriams ir vaizdo įrašymo (NVR) įrenginiams. Ši grėsminga programinė įranga perima užkrėstų įrenginių valdymą, įtraukdama juos į DDoS (Distributed Denial of Service) būrį, kuris greičiausiai nuomojamas siekiant finansinės naudos. Analitikai teigia, kad pirmieji botneto veiklos požymiai kilo 2022 m. pabaigoje, tačiau pirmą kartą jis buvo atskleistas 2023 m. spalį.

InfectedSlurs botnetui pavyko likti po radaru

Analitikai aptiko įtartiną elgesį, susijusį su žemo dažnio zondais, bandančiais autentifikuoti pagal POST užklausas, o po to buvo įvesta komanda. Naudodami turimus duomenis, mokslininkai atliko išsamų nuskaitymą internete ir nustatė, kad paveikti įrenginiai buvo susieti su konkrečiu NVR gamintoju. Jų išvados parodė, kad robotų tinklas naudoja nepaskelbtą nuotolinio kodo vykdymo (RCE) pažeidžiamumą, kad neteisėtai patektų į įrenginį.

Atidžiau pažiūrėjus paaiškėjo, kad kenkėjiška programa naudojasi numatytais kredencialais, esančiais įvairių NVR produktų pardavėjo vadovuose. Jis naudoja šiuos kredencialus, kad įdiegtų roboto klientą ir atliktų kitus kenkėjiškus veiksmus. Gilinantis į tyrimą, buvo atskleista, kad botnetas taip pat skirtas plačiai naudojamam belaidžio LAN maršruto parinktuvui, populiariam tarp namų vartotojų ir viešbučių. Šis maršrutizatorius yra jautrus kitam nulinės dienos RCE trūkumui, kurį savo veiklai išnaudoja kenkėjiška programa.

„InfectedSlurs“ rodo nedidelius „Mirai“ patobulinimus

Nustatyta kenkėjiška programa, tyrėjų pavadinta „InfectedSlurs“, gavo savo pavadinimą dėl įžeidžiančios kalbos, esančios komandų ir valdymo (C2, C&C) domenuose ir užkoduotose eilutėse. C2 infrastruktūra, kuri taip pat palengvina „hailBot“ operacijas, rodo didelę koncentraciją. Ši grėsmė identifikuojama kaip JenX Mirai variantas. Be to, tyrimas atskleidė su grupe susietą „Telegram“ paskyrą, nors vėliau ji buvo ištrinta.

Paskyros naudotojas pasidalijo ekrano kopijomis, kuriose atskleidžiama beveik dešimt tūkstančių robotų, naudojančių Telnet protokolą, ir dar 12 000 robotų, taikomų konkrečių įrenginių tipams / prekės ženklams, pvz., „Vacron“, „ntel“ ir „UTT-Bots“.

Atlikus analizę, buvo nustatytos minimalios kodo modifikacijos, palyginti su originaliu „Mirai Botnet“ , o tai rodo, kad „InfectedSlurs“ veikia kaip savaime plintantis DDoS įrankis. Jis palaiko atakas, kuriose naudojami SYN, UDP ir HTTP GET užklausų potvyniai.

Panašiai kaip Mirai, InfectedSlurs neturi patvarumo mechanizmo. Kadangi paveiktų įrenginių pataisos nėra, laikinai sutrikdyti robotų tinklą galima iš naujo paleidus NVR ir maršrutizatoriaus įrenginius.