InfectedSlurs Botnet

Et nylig oppdaget malware botnett, 'InfectedSlurs', utnytter to nulldagers sårbarheter for Remote Code Execution (RCE) for å kompromittere rutere og videoopptakerenheter (NVR). Denne truende programvaren tar kontroll over de infiserte enhetene, og integrerer dem i en DDoS-sverm (Distributed Denial of Service), sannsynligvis leid ut for økonomisk vinning. Analytikere antyder at botnettets tidligste tegn på aktivitet spores tilbake til slutten av 2022, men det ble først avdekket i oktober 2023.

InfectedSlurs-botnettet hadde klart å forbli under radaren

Analytikere oppdaget mistenkelig oppførsel som involverte lavfrekvente sonder som forsøkte autentisering gjennom POST-forespørsler, etterfulgt av en kommandoinjeksjon. Ved å bruke de tilgjengelige dataene, utførte forskere en omfattende skanning over Internett og identifiserte at de berørte enhetene var assosiert med en spesifikk NVR-produsent. Funnene deres indikerte at botnettet utnytter en urapportert sårbarhet for ekstern kjøring av kode (RCE) for å få uautorisert tilgang til enheten.

Ved nærmere inspeksjon ble det avslørt at skadelig programvare utnytter standardlegitimasjonen som finnes i leverandørens håndbøker for ulike NVR-produkter. Den bruker disse legitimasjonene til å installere en botklient og utføre andre ondsinnede handlinger. Ved å dykke videre inn i etterforskningen ble det avdekket at botnettet også retter seg mot en mye brukt trådløs LAN-ruter, populær blant hjemmebrukere og hoteller. Denne ruteren er utsatt for en annen null-dagers RCE-feil som utnyttes av skadevare for sine aktiviteter.

InfectedSlurs viser små forbedringer i forhold til Mirai

Den identifiserte skadelige programvaren, kalt 'InfectedSlurs' av forskere, fikk navnet sitt fra bruken av støtende språk som finnes i Command-and-Control (C2, C&C)-domener og hardkodede strenger. C2-infrastrukturen, som også ser ut til å lette hailBot-operasjoner, viser en bemerkelsesverdig konsentrasjon. Denne trusselen er identifisert som en JenX Mirai-variant. I tillegg har en etterforskning avdekket en Telegram-konto knyttet til klyngen, selv om kontoen siden har blitt slettet.

Brukeren bak kontoen delte skjermbilder som avslørte nærmere ti tusen roboter som bruker Telnet-protokollen og ytterligere 12 000 roboter rettet mot spesifikke enhetstyper/merker som "Vacron", "ntel" og "UTT-Bots."

Ved analyse ble minimale kodemodifikasjoner identifisert sammenlignet med det originale Mirai Botnet , noe som indikerer at InfectedSlurs fungerer som et selvforplantende DDoS-verktøy. Den støtter angrep som bruker SYN, UDP og HTTP GET-forespørselsflommer.

I likhet med Mirai mangler InfectedSlurs en utholdenhetsmekanisme. Siden det ikke er noen tilgjengelig oppdatering for de berørte enhetene, kan midlertidig forstyrrelse av botnettet oppnås ved å starte NVR- og ruterenheter på nytt.