InfectedSlurs Botnet

Niedawno wykryty botnet zawierający złośliwe oprogramowanie „InfectedSlurs” wykorzystuje dwie luki dnia zerowego umożliwiające zdalne wykonanie kodu (RCE) w celu naruszenia bezpieczeństwa routerów i urządzeń do nagrywania wideo (NVR). To groźne oprogramowanie przejmuje kontrolę nad zainfekowanymi urządzeniami, włączając je do roju DDoS (Distributed Denial of Service), prawdopodobnie wynajmowanego w celu uzyskania korzyści finansowych. Analitycy sugerują, że najwcześniejsze oznaki aktywności botnetu datuje się na koniec 2022 r., ale po raz pierwszy został on odkryty w październiku 2023 r.

Botnet InfectedSlurs zdołał pozostać poza radarem

Analitycy wykryli podejrzane zachowanie obejmujące sondy o niskiej częstotliwości próbujące uwierzytelnić za pomocą żądań POST, a następnie próbę wstrzyknięcia polecenia. Wykorzystując dostępne dane, badacze przeprowadzili kompleksowe skanowanie Internetu i ustalili, że urządzenia, których dotyczy problem, były powiązane z konkretnym producentem NVR. Z ich ustaleń wynika, że botnet wykorzystuje niezgłoszoną lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE) w celu uzyskania nieautoryzowanego dostępu do urządzenia.

Po bliższej analizie okazało się, że złośliwe oprogramowanie wykorzystuje domyślne dane uwierzytelniające znajdujące się w instrukcjach dostawców różnych produktów NVR. Wykorzystuje te dane uwierzytelniające do instalowania klienta bota i wykonywania innych złośliwych działań. Pogłębiając dochodzenie, odkryto, że celem botnetu jest również powszechnie używany router bezprzewodowej sieci LAN, popularny wśród użytkowników domowych i hoteli. Router ten jest podatny na kolejną lukę typu zero-day RCE wykorzystywaną przez szkodliwe oprogramowanie do swoich działań.

InfectedSlurs wykazuje niewielką poprawę w stosunku do Mirai

Zidentyfikowane szkodliwe oprogramowanie, nazwane przez badaczy „InfectedSlurs”, zyskało swoją nazwę dzięki wykorzystaniu obraźliwego języka występującego w domenach dowodzenia i kontroli (C2, C&C) oraz zakodowanych na stałe ciągach znaków. Infrastruktura C2, która również wydaje się ułatwiać działanie hailBota, wykazuje wyraźną koncentrację. Zagrożenie to zostało zidentyfikowane jako wariant JenX Mirai. Ponadto dochodzenie ujawniło konto Telegram powiązane z klastrem, chociaż zostało ono usunięte.

Użytkownik konta udostępnił zrzuty ekranu, na których widać prawie dziesięć tysięcy botów korzystających z protokołu Telnet i dodatkowe 12 000 botów atakujących określone typy/marki urządzeń, takie jak „Vacron”, „ntel” i „UTT-Bots”.

Po analizie zidentyfikowano minimalne modyfikacje kodu w porównaniu z oryginalnym botnetem Mirai , co wskazuje, że InfectedSlurs działa jako samorozprzestrzeniające się narzędzie DDoS. Obsługuje ataki wykorzystujące zalew żądań SYN, UDP i HTTP GET.

Podobnie jak Mirai, InfectedSlurs nie ma mechanizmu trwałości. Ponieważ nie jest dostępna żadna łatka dla zagrożonych urządzeń, tymczasowe zakłócenie działania botnetu można osiągnąć poprzez ponowne uruchomienie NVR i routerów.