InfectedSlurs Botnet

Nedavno odkriti botnet z zlonamerno programsko opremo, 'InfectedSlurs', izkorišča dve ranljivosti zero-day za oddaljeno izvajanje kode (RCE) za ogrožanje usmerjevalnikov in naprav za snemanje videa (NVR). Ta grozeča programska oprema prevzame nadzor nad okuženimi napravami in jih vključi v roj DDoS (Distributed Denial of Service), ki se verjetno daje v najem zaradi finančne koristi. Analitiki menijo, da prvi znaki delovanja botneta segajo v konec leta 2022, vendar so ga prvič odkrili oktobra 2023.

Botnet InfectedSlurs je uspel ostati pod radarjem

Analitiki so odkrili sumljivo vedenje, ki je vključevalo nizkofrekvenčne sonde, ki so poskušale preveriti pristnost prek zahtev POST, čemur je sledil poskus vbrizgavanja ukaza. Z uporabo razpoložljivih podatkov so raziskovalci izvedli obsežen pregled po internetu in ugotovili, da so bile prizadete naprave povezane z določenim proizvajalcem NVR. Njihove ugotovitve so pokazale, da botnet izkorišča ranljivost neprijavljenega oddaljenega izvajanja kode (RCE) za pridobitev nepooblaščenega vstopa v napravo.

Po natančnejšem pregledu je bilo ugotovljeno, da zlonamerna programska oprema izkorišča privzete poverilnice, ki jih najdete v priročnikih prodajalca za različne izdelke NVR. Te poverilnice uporablja za namestitev odjemalca bota in izvajanje drugih zlonamernih dejanj. Z nadaljnjo preiskavo je bilo ugotovljeno, da botnet cilja tudi na široko uporabljan brezžični LAN usmerjevalnik, priljubljen med domačimi uporabniki in hoteli. Ta usmerjevalnik je dovzeten za drugo napako RCE ničelnega dne, ki jo zlonamerna programska oprema izkorišča za svoje dejavnosti.

InfectedSlurs kaže majhne izboljšave v primerjavi z Mirai

Identificirana zlonamerna programska oprema, ki so jo raziskovalci poimenovali 'InfectedSlurs', si je prislužila ime zaradi uporabe žaljivega jezika, ki je prisoten v domenah ukazovanja in nadzora (C2, C&C) in trdo kodiranih nizov. Infrastruktura C2, za katero se zdi, da prav tako olajša operacije hailBot, kaže opazno koncentracijo. Ta grožnja je opredeljena kot različica JenX Mirai. Poleg tega je preiskava odkrila račun Telegram, povezan z gručo, čeprav je bil račun medtem izbrisan.

Uporabnik za računom je delil posnetke zaslona, ki razkrivajo skoraj deset tisoč botov, ki uporabljajo protokol Telnet, in dodatnih 12.000 botov, ki ciljajo na določene vrste/znamke naprav, kot so 'Vacron,' 'ntel' in 'UTT-Bots.'

Po analizi so bile ugotovljene minimalne spremembe kode v primerjavi z izvirnim botnetom Mirai , kar kaže, da InfectedSlurs deluje kot orodje za DDoS, ki se samo razmnožuje. Podpira napade, ki uporabljajo poplave zahtev SYN, UDP in HTTP GET.

Podobno kot Mirai, InfectedSlurs nima mehanizma vztrajnosti. Ker ni na voljo popravka za prizadete naprave, je mogoče začasno prekiniti botnet s ponovnim zagonom naprav NVR in usmerjevalnika.