Ботнет InfectedSlurs

Недавно обнаруженный вредоносный ботнет InfectedSlurs использует две уязвимости нулевого дня для удаленного выполнения кода (RCE) для компрометации маршрутизаторов и устройств видеозаписи (NVR). Это угрожающее программное обеспечение берет под свой контроль зараженные устройства, объединяя их в рой DDoS (распределенный отказ в обслуживании), который, вероятно, сдается в аренду для финансовой выгоды. Аналитики предполагают, что первые признаки активности ботнета относятся к концу 2022 года, но впервые он был обнаружен в октябре 2023 года.

Ботнету InfectedSlurs удалось остаться незамеченным

Аналитики обнаружили подозрительное поведение, связанное с попытками низкочастотных зондов пройти аутентификацию посредством POST-запросов с последующей попыткой внедрения команд. Используя доступные данные, исследователи провели комплексное сканирование Интернета и определили, что затронутые устройства были связаны с конкретным производителем NVR. Их результаты показали, что ботнет использует незарегистрированную уязвимость удаленного выполнения кода (RCE) для получения несанкционированного доступа к устройству.

При ближайшем рассмотрении выяснилось, что вредоносное ПО использует учетные данные по умолчанию, указанные в руководствах поставщиков различных продуктов NVR. Он использует эти учетные данные для установки клиента-бота и выполнения других вредоносных действий. В ходе расследования выяснилось, что ботнет также нацелен на широко используемый маршрутизатор беспроводной локальной сети, популярный среди домашних пользователей и отелей. Этот маршрутизатор подвержен еще одной уязвимости RCE нулевого дня, которую использует вредоносное ПО для своей деятельности.

InfectedSlurs показывает небольшие улучшения по сравнению с Mirai

Идентифицированное вредоносное ПО, названное исследователями «InfectedSlurs», получило свое название из-за использования ненормативной лексики, присутствующей в доменах управления и контроля (C2, C&C), а также жестко запрограммированных строк. Инфраструктура C2, которая, по-видимому, также облегчает работу HailBot, демонстрирует заметную концентрацию. Эта угроза идентифицируется как вариант JenX Mirai. Кроме того, в ходе расследования была обнаружена учетная запись Telegram, связанная с кластером, хотя впоследствии эта учетная запись была удалена.

Пользователь, стоящий за учетной записью, поделился скриншотами, на которых видно около десяти тысяч ботов, использующих протокол Telnet, и еще 12 000 ботов, нацеленных на определенные типы/бренды устройств, такие как «Vacron», «ntel» и «UTT-Bots».

В ходе анализа были выявлены минимальные изменения кода по сравнению с исходным ботнетом Mirai , что указывает на то, что InfectedSlurs действует как самораспространяющийся инструмент DDoS. Он поддерживает атаки с использованием лавинной рассылки запросов SYN, UDP и HTTP GET.

Как и в случае с Mirai, в InfectedSlurs отсутствует механизм сохранения. Поскольку для затронутых устройств не существует доступного патча, временно отключить ботнет можно путем перезагрузки сетевых видеорегистраторов и устройств маршрутизатора.