InfectedSlurs Botnet

O rețea botnet malware descoperită recent, „InfectedSlurs”, folosește două vulnerabilități zero-day pentru Remote Code Execution (RCE) pentru a compromite routerele și dispozitivele de înregistrare video (NVR). Acest software amenințător preia controlul asupra dispozitivelor infectate, încorporându-le într-un roi DDoS (Distributed Denial of Service), probabil închiriat pentru câștiguri financiare. Analiştii sugerează că primele semne de activitate ale reţelei botnet datează de la sfârşitul anului 2022, dar au fost descoperite pentru prima dată în octombrie 2023.

Botnetul InfectedSlurs reușise să rămână sub radar

Analiștii au detectat un comportament suspect care implică sonde de joasă frecvență care încearcă să se autentifice prin solicitări POST, urmate de un efort de injectare a comenzii. Folosind datele disponibile, cercetătorii au efectuat o scanare cuprinzătoare pe internet și au identificat că dispozitivele afectate au fost asociate cu un anumit producător NVR. Descoperirile lor au indicat că rețeaua botnet exploatează o vulnerabilitate neraportată de execuție de cod la distanță (RCE) pentru a obține intrare neautorizată în dispozitiv.

La o inspecție mai atentă, a fost dezvăluit că malware-ul profită de acreditările implicite găsite în manualele furnizorului pentru diferite produse NVR. Utilizează aceste acreditări pentru a instala un client bot și pentru a efectua alte acțiuni rău intenționate. Având în continuare investigația, s-a descoperit că botnet-ul vizează și un router LAN wireless utilizat pe scară largă, popular printre utilizatorii casnici și hoteluri. Acest router este susceptibil la un alt defect RCE zero-day exploatat de malware pentru activitățile sale.

InfectedSlurs prezintă mici îmbunătățiri față de Mirai

Malware-ul identificat, denumit „InfectedSlurs” de către cercetători, și-a câștigat numele din utilizarea limbajului ofensiv prezent în domeniile Command-and-Control (C2, C&C) și în șirurile hardcoded. Infrastructura C2, care pare să faciliteze și operațiunile hailBot, arată o concentrare notabilă. Această amenințare este identificată ca o variantă JenX Mirai. În plus, o investigație a descoperit un cont Telegram asociat cu clusterul, deși contul a fost șters de atunci.

Utilizatorul din spatele contului a distribuit capturi de ecran care dezvăluie aproape zece mii de roboți folosind protocolul Telnet și alți 12.000 de roboți care vizează anumite tipuri de dispozitive/mărci, cum ar fi „Vacron”, „ntel” și „UTT-Bots”.

În urma analizei, au fost identificate modificări minime de cod în comparație cu Mirai Botnet original, ceea ce indică faptul că InfectedSlurs funcționează ca un instrument DDoS cu autopropagare. Acceptă atacuri care utilizează SYN, UDP și HTTP GET.

Similar cu Mirai, InfectedSlurs nu are un mecanism de persistență. Deoarece nu există un patch disponibil pentru dispozitivele afectate, întreruperea temporară a rețelei bot poate fi realizată prin repornirea dispozitivelor NVR și router.