InfectedSlurs Botnet

ਹਾਲ ਹੀ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਇੱਕ ਮਾਲਵੇਅਰ ਬੋਟਨੈੱਟ, 'ਇਨਫੈਕਟਡਸਲਰਸ,' ਰਾਊਟਰਾਂ ਅਤੇ ਵੀਡੀਓ ਰਿਕਾਰਡਰ (NVR) ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਲਈ ਦੋ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਲੈ ਰਿਹਾ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸੌਫਟਵੇਅਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਦਾ ਨਿਯੰਤਰਣ ਲੈ ਲੈਂਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ DDoS (ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡੈਨਾਇਲ ਆਫ਼ ਸਰਵਿਸ) ਦੇ ਝੁੰਡ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਵਿੱਤੀ ਲਾਭ ਲਈ ਕਿਰਾਏ 'ਤੇ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਕ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਬੋਟਨੈੱਟ ਦੀ ਗਤੀਵਿਧੀ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਕੇਤ 2022 ਦੇ ਅਖੀਰ ਤੱਕ ਹੁੰਦੇ ਹਨ, ਪਰ ਇਹ ਪਹਿਲੀ ਵਾਰ ਅਕਤੂਬਰ 2023 ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਸੀ।

ਸੰਕਰਮਿਤ ਸਲਰਸ ਬੋਟਨੈੱਟ ਰਾਡਾਰ ਦੇ ਹੇਠਾਂ ਰਹਿਣ ਵਿਚ ਕਾਮਯਾਬ ਹੋ ਗਿਆ ਸੀ

ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ POST ਬੇਨਤੀਆਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲੇ ਘੱਟ-ਫ੍ਰੀਕੁਐਂਸੀ ਜਾਂਚਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੇ ਸ਼ੱਕੀ ਵਿਵਹਾਰ ਦਾ ਪਤਾ ਲਗਾਇਆ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇੱਕ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਗਈ। ਉਪਲਬਧ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੂਰੇ ਇੰਟਰਨੈਟ ਵਿੱਚ ਇੱਕ ਵਿਆਪਕ ਸਕੈਨ ਕੀਤਾ ਅਤੇ ਪਛਾਣ ਕੀਤੀ ਕਿ ਪ੍ਰਭਾਵਿਤ ਉਪਕਰਣ ਇੱਕ ਖਾਸ NVR ਨਿਰਮਾਤਾ ਨਾਲ ਜੁੜੇ ਹੋਏ ਸਨ। ਉਹਨਾਂ ਦੀਆਂ ਖੋਜਾਂ ਨੇ ਸੰਕੇਤ ਦਿੱਤਾ ਕਿ ਬੋਟਨੈੱਟ ਡਿਵਾਈਸ ਵਿੱਚ ਅਣਅਧਿਕਾਰਤ ਐਂਟਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਗੈਰ-ਰਿਪੋਰਟ ਕੀਤੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।

ਨਜ਼ਦੀਕੀ ਨਿਰੀਖਣ 'ਤੇ, ਇਹ ਸਾਹਮਣੇ ਆਇਆ ਕਿ ਮਾਲਵੇਅਰ ਵੱਖ-ਵੱਖ NVR ਉਤਪਾਦਾਂ ਲਈ ਵਿਕਰੇਤਾ ਦੇ ਮੈਨੂਅਲ ਵਿੱਚ ਪਾਏ ਗਏ ਡਿਫੌਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ। ਇਹ ਇਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਇੱਕ ਬੋਟ ਕਲਾਇੰਟ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਹੋਰ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ। ਜਾਂਚ ਵਿੱਚ ਅੱਗੇ ਵਧਦੇ ਹੋਏ, ਇਹ ਖੁਲਾਸਾ ਹੋਇਆ ਕਿ ਬੋਟਨੈੱਟ ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਵਾਇਰਲੈੱਸ LAN ਰਾਊਟਰ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਘਰੇਲੂ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਹੋਟਲਾਂ ਵਿੱਚ ਪ੍ਰਸਿੱਧ ਹੈ। ਇਹ ਰਾਊਟਰ ਇਸਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਲਈ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤੀ ਗਈ ਇੱਕ ਹੋਰ ਜ਼ੀਰੋ-ਦਿਨ RCE ਨੁਕਸ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹੈ।

ਸੰਕਰਮਿਤ ਸਲਰਸ ਮੀਰਾਈ ਦੇ ਮੁਕਾਬਲੇ ਬਹੁਤ ਘੱਟ ਸੁਧਾਰ ਦਿਖਾਉਂਦੇ ਹਨ

ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਛਾਣੇ ਗਏ ਮਾਲਵੇਅਰ, ਜਿਸ ਨੂੰ 'ਇਨਫੈਕਟਡ ਸਲਰਜ਼' ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਡੋਮੇਨਾਂ ਅਤੇ ਹਾਰਡਕੋਡਡ ਸਟ੍ਰਿੰਗਾਂ ਵਿੱਚ ਮੌਜੂਦ ਅਪਮਾਨਜਨਕ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਤੋਂ ਆਪਣਾ ਨਾਮ ਕਮਾਇਆ। C2 ਬੁਨਿਆਦੀ ਢਾਂਚਾ, ਜੋ ਕਿ ਹੈਲਬੋਟ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਇਕਾਗਰਤਾ ਦਿਖਾਉਂਦਾ ਹੈ। ਇਸ ਖਤਰੇ ਦੀ ਪਛਾਣ JenX Mirai ਰੂਪ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਜਾਂਚ ਨੇ ਕਲੱਸਟਰ ਨਾਲ ਜੁੜੇ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਖਾਤੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਹਾਲਾਂਕਿ ਖਾਤਾ ਉਦੋਂ ਤੋਂ ਮਿਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਖਾਤੇ ਦੇ ਪਿੱਛੇ ਉਪਭੋਗਤਾ ਨੇ ਟੈਲਨੈੱਟ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਲਗਭਗ ਦਸ ਹਜ਼ਾਰ ਬੋਟਸ ਅਤੇ 'ਵੈਕਰੋਨ,' 'ਐਨਟੀਐਲ,' ਅਤੇ 'ਯੂਟੀਟੀ-ਬੋਟਸ' ਵਰਗੀਆਂ ਖਾਸ ਡਿਵਾਈਸ ਕਿਸਮਾਂ/ਬ੍ਰਾਂਡਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਵਾਧੂ 12,000 ਬੋਟਸ ਦਾ ਖੁਲਾਸਾ ਕਰਦੇ ਹੋਏ ਸਕ੍ਰੀਨਸ਼ਾਟ ਸਾਂਝੇ ਕੀਤੇ।

ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ 'ਤੇ, ਮੂਲ ਮਿਰਾਈ ਬੋਟਨੈੱਟ ਦੇ ਮੁਕਾਬਲੇ ਘੱਟੋ-ਘੱਟ ਕੋਡ ਸੋਧਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ, ਜੋ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ InfectedSlurs ਇੱਕ ਸਵੈ-ਪ੍ਰਚਾਰਕ DDoS ਟੂਲ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ SYN, UDP ਅਤੇ HTTP GET ਬੇਨਤੀ ਹੜ੍ਹਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਨ ਵਾਲੇ ਹਮਲਿਆਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

ਮੀਰਾਈ ਦੇ ਸਮਾਨ, ਇਨਫੈਕਟਡਸਲਰਸ ਵਿੱਚ ਇੱਕ ਨਿਰੰਤਰਤਾ ਵਿਧੀ ਦੀ ਘਾਟ ਹੈ। ਕਿਉਂਕਿ ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ ਲਈ ਕੋਈ ਪੈਚ ਉਪਲਬਧ ਨਹੀਂ ਹੈ, ਬੋਟਨੈੱਟ ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਵਿਗਾੜਨਾ NVR ਅਤੇ ਰਾਊਟਰ ਡਿਵਾਈਸਾਂ ਨੂੰ ਰੀਬੂਟ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।