InfectedSlurs-botnet

Een onlangs ontdekt malwarebotnet, 'InfectedSlurs', maakt gebruik van twee zero-day-kwetsbaarheden voor Remote Code Execution (RCE) om routers en videorecorders (NVR) in gevaar te brengen. Deze bedreigende software neemt de controle over de geïnfecteerde apparaten over en neemt ze op in een DDoS-zwerm (Distributed Denial of Service), die waarschijnlijk wordt verhuurd voor financieel gewin. Analisten suggereren dat de eerste tekenen van activiteit van het botnet teruggaan tot eind 2022, maar dat het botnet voor het eerst werd ontdekt in oktober 2023.

Het InfectedSlurs-botnet was erin geslaagd onder de radar te blijven

Analisten ontdekten verdacht gedrag waarbij laagfrequente probes betrokken waren bij een poging tot authenticatie via POST-verzoeken, gevolgd door een opdrachtinjectie. Met behulp van de beschikbare gegevens voerden onderzoekers een uitgebreide scan uit op internet en identificeerden ze dat de getroffen apparaten verband hielden met een specifieke NVR-fabrikant. Uit hun bevindingen blijkt dat het botnet misbruik maakt van een niet-gerapporteerde RCE-kwetsbaarheid (Remote Code Execution) om ongeoorloofde toegang tot het apparaat te verkrijgen.

Bij nadere inspectie bleek dat de malware misbruik maakt van de standaardreferenties die te vinden zijn in de handleidingen van de leverancier voor verschillende NVR-producten. Het gebruikt deze inloggegevens om een botclient te installeren en andere kwaadaardige acties uit te voeren. Bij verder onderzoek in het onderzoek kwam aan het licht dat het botnet zich ook richt op een veelgebruikte draadloze LAN-router, populair onder thuisgebruikers en hotels. Deze router is gevoelig voor een nieuwe zero-day RCE-fout die door de malware wordt uitgebuit voor zijn activiteiten.

InfectedSlurs vertoont kleine verbeteringen ten opzichte van Mirai

De geïdentificeerde malware, door onderzoekers 'InfectedSlurs' genoemd, dankt zijn naam aan het gebruik van aanstootgevend taalgebruik in de Command-and-Control (C2, C&C) domeinen en hardgecodeerde strings. De C2-infrastructuur, die ook HailBot-operaties lijkt te vergemakkelijken, vertoont een opmerkelijke concentratie. Deze dreiging wordt geïdentificeerd als een JenX Mirai-variant. Bovendien heeft een onderzoek een Telegram-account aan het licht gebracht dat aan het cluster is gekoppeld, hoewel het account inmiddels is verwijderd.

De gebruiker achter het account deelde screenshots waarop bijna tienduizend bots te zien waren die het Telnet-protocol gebruikten, en nog eens 12.000 bots die zich richtten op specifieke apparaattypen/-merken zoals 'Vacron', 'ntel' en 'UTT-Bots'.

Bij analyse werden minimale codewijzigingen geïdentificeerd in vergelijking met het originele Mirai Botnet , wat aangeeft dat InfectedSlurs werkt als een zichzelf voortplantende DDoS-tool. Het ondersteunt aanvallen waarbij gebruik wordt gemaakt van SYN-, UDP- en HTTP GET-verzoekfloods.

Net als Mirai mist InfectedSlurs een persistentiemechanisme. Omdat er geen patch beschikbaar is voor de betrokken apparaten, kan het tijdelijk verstoren van het botnet worden bereikt door de NVR- en routerapparaten opnieuw op te starten.