Botnet InfectedSlurs

Nedávno objavený malvérový botnet „InfectedSlurs“ využíva dve zraniteľnosti nultého dňa pre Remote Code Execution (RCE) na kompromitáciu smerovačov a videorekordérov (NVR). Tento hrozivý softvér prevezme kontrolu nad infikovanými zariadeniami a začlení ich do skupiny DDoS (Distributed Denial of Service), ktorá sa pravdepodobne prenajíma za účelom finančného zisku. Analytici naznačujú, že prvé známky aktivity botnetu siahajú do konca roku 2022, ale prvýkrát boli odhalené v októbri 2023.

Botnetu InfectedSlurs sa podarilo zostať pod radarom

Analytici zistili podozrivé správanie zahŕňajúce nízkofrekvenčné sondy pokúšajúce sa o autentifikáciu prostredníctvom požiadaviek POST, po ktorých nasledovalo vloženie príkazu. S využitím dostupných údajov výskumníci vykonali komplexné skenovanie na internete a zistili, že dotknuté zariadenia sú spojené s konkrétnym výrobcom NVR. Ich zistenia naznačujú, že botnet využíva neohlásenú zraniteľnosť vzdialeného spustenia kódu (RCE) na získanie neoprávneného vstupu do zariadenia.

Pri bližšom skúmaní sa ukázalo, že malvér využíva predvolené poverenia, ktoré sa nachádzajú v manuáloch dodávateľov pre rôzne produkty NVR. Používa tieto poverenia na inštaláciu klienta bota a vykonávanie iných škodlivých akcií. Pri hlbšom vyšetrovaní sa zistilo, že botnet sa zameriava aj na široko používaný bezdrôtový LAN router, obľúbený medzi domácimi používateľmi a hotelmi. Tento smerovač je náchylný na ďalšiu chybu zero-day RCE, ktorú malvér využíva na svoje aktivity.

InfectedSlurs vykazuje malé vylepšenia oproti Mirai

Identifikovaný malvér, ktorý výskumníci nazvali „InfectedSlurs“, si svoje meno vyslúžil využitím urážlivého jazyka prítomného v doménach Command-and-Control (C2, C&C) a pevne zakódovaných reťazcov. Infraštruktúra C2, ktorá zrejme uľahčuje aj operácie hailBot, vykazuje pozoruhodnú koncentráciu. Táto hrozba je identifikovaná ako variant JenX Mirai. Okrem toho vyšetrovanie odhalilo telegramový účet spojený s klastrom, hoci tento účet bol odvtedy odstránený.

Používateľ účtu zdieľal snímky obrazovky odhaľujúce takmer desaťtisíc robotov používajúcich protokol Telnet a ďalších 12 000 robotov zameraných na konkrétne typy/značky zariadení, ako napríklad „Vacron“, „ntel“ a „UTT-Bots“.

Po analýze boli v porovnaní s pôvodným botnetom Mirai identifikované minimálne úpravy kódu, čo naznačuje, že InfectedSlurs funguje ako nástroj DDoS, ktorý sa sám šíri. Podporuje útoky využívajúce záplavy požiadaviek SYN, UDP a HTTP GET.

Podobne ako Mirai, InfectedSlurs nemá mechanizmus perzistencie. Keďže pre postihnuté zariadenia nie je dostupná žiadna oprava, dočasné prerušenie botnetu je možné dosiahnuť reštartovaním zariadení NVR a smerovačov.