InfectedSlurs Botnet

भर्खरै पत्ता लागेको मालवेयर बोटनेट, 'InfectedSlurs,' ले राउटरहरू र भिडियो रेकर्डर (NVR) यन्त्रहरूमा सम्झौता गर्नको लागि रिमोट कोड कार्यान्वयन (RCE) को लागि दुई शून्य-दिन जोखिमहरू प्रयोग गर्दैछ। यो धम्की दिने सफ्टवेयरले संक्रमित उपकरणहरूको नियन्त्रण लिन्छ, तिनीहरूलाई DDoS (डिस्ट्रिब्युटेड डिनायल अफ सर्भिस) झुण्डमा समाहित गर्दछ, सम्भवतः आर्थिक लाभको लागि भाडामा लिइन्छ। विश्लेषकहरूले सुझाव दिएका छन् कि बोटनेटको गतिविधिको प्रारम्भिक संकेतहरू 2022 को अन्ततिर फर्किए, तर यो पहिलो पटक अक्टोबर 2023 मा पत्ता लागेको थियो।

संक्रमित स्लर्स बोटनेट राडार मुनि रहन सफल भएको थियो

विश्लेषकहरूले POST अनुरोधहरू मार्फत प्रमाणीकरण प्रयास गर्ने कम-फ्रिक्वेन्सी जाँचहरू समावेश गर्ने संदिग्ध व्यवहार पत्ता लगाए, त्यसपछि आदेश इंजेक्शन प्रयास। उपलब्ध डाटाको उपयोग गर्दै, अन्वेषकहरूले इन्टरनेटमा व्यापक स्क्यान गरे र पहिचान गरे कि प्रभावित उपकरणहरू एक विशिष्ट NVR निर्मातासँग सम्बन्धित थिए। तिनीहरूको खोजहरूले संकेत गरे कि बोटनेटले यन्त्रमा अनाधिकृत प्रविष्टि प्राप्त गर्न रिपोर्ट नगरिएको रिमोट कोड कार्यान्वयन (RCE) जोखिमको शोषण गर्दछ।

नजिकको निरीक्षणमा, यो मालवेयरले विभिन्न NVR उत्पादनहरूको लागि विक्रेताको म्यानुअलहरूमा फेला परेका पूर्वनिर्धारित प्रमाणहरूको फाइदा लिन्छ भन्ने कुरा प्रकट भयो। यसले बोट क्लाइन्ट स्थापना गर्न र अन्य दुर्भावनापूर्ण कार्यहरू गर्न यी प्रमाणहरू प्रयोग गर्दछ। अनुसन्धानमा थप अनुसन्धान गर्दै, यो खुलासा भयो कि बोटनेटले व्यापक रूपमा प्रयोग हुने वायरलेस ल्यान राउटरलाई पनि लक्षित गर्दछ, जुन घरका प्रयोगकर्ताहरू र होटलहरूमा लोकप्रिय छ। यो राउटर यसको गतिविधिहरूको लागि मालवेयरद्वारा शोषण गरिएको अर्को शून्य-दिनको RCE त्रुटिको लागि संवेदनशील छ।

InfectedSlurs Mirai मा थोरै सुधार देखाउँछ

पहिचान गरिएको मालवेयर, अनुसन्धानकर्ताहरूद्वारा 'इन्फेक्टेडस्लर्स' डब गरिएको, कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) डोमेन र हार्डकोड गरिएको स्ट्रिङहरूमा रहेको आपत्तिजनक भाषाको प्रयोगबाट यसको नाम कमाएको हो। C2 पूर्वाधार, जसले hailBot सञ्चालनलाई पनि सहज बनाउँछ, उल्लेखनीय एकाग्रता देखाउँछ। यो खतरा JenX Mirai भेरियन्टको रूपमा पहिचान गरिएको छ। थप रूपमा, एक अनुसन्धानले क्लस्टरसँग सम्बन्धित टेलिग्राम खाता पत्ता लगाएको छ, यद्यपि खाता पछि मेटाइएको छ।

खाता पछाडिको प्रयोगकर्ताले टेलनेट प्रोटोकल प्रयोग गरेर करिब १० हजार बटहरू र 'भ्याक्रोन,' 'ntel,' र 'UTT-बोट्स' जस्ता विशिष्ट उपकरण प्रकार/ब्रान्डहरूलाई लक्षित गरी थप १२,००० बटहरू प्रकट गर्ने स्क्रिनसटहरू साझा गरे।

विश्लेषण गर्दा, मूल Mirai Botnet को तुलनामा न्यूनतम कोड परिमार्जनहरू पहिचान गरियो, यसले सङ्केत गर्छ कि InfectedSlurs ले स्व-प्रसारित DDoS उपकरणको रूपमा काम गर्छ। यसले SYN, UDP र HTTP GET अनुरोध बाढीलाई प्रयोग गर्ने आक्रमणहरूलाई समर्थन गर्दछ।

Mirai जस्तै, InfectedSlurs मा दृढता संयन्त्रको अभाव छ। प्रभावित यन्त्रहरूका लागि त्यहाँ कुनै प्याच उपलब्ध नभएकोले, NVR र राउटर यन्त्रहरू रिबुट गरेर अस्थायी रूपमा बोटनेटमा बाधा पुर्‍याउन सकिन्छ।