InfectedSlurs Botnet

Një botnet malware i zbuluar së fundmi, 'InfectedSlurs', po përdor dy dobësi zero-ditore për Remote Code Execution (RCE) për të komprometuar ruterat dhe pajisjet e videoregjistruesit (NVR). Ky softuer kërcënues merr kontrollin e pajisjeve të infektuara, duke i inkorporuar ato në një tufë DDoS (Distributed Denial of Service), me gjasë të dhëna me qira për përfitime financiare. Analistët sugjerojnë se shenjat më të hershme të aktivitetit të botnet-it dalin në fund të vitit 2022, por ai u zbulua për herë të parë në tetor 2023.

Botneti InfectedSlurs kishte arritur të mbetej nën radar

Analistët zbuluan sjellje të dyshimta që përfshinin sonda me frekuencë të ulët që tentonin vërtetimin përmes kërkesave POST, e ndjekur nga një përpjekje për injeksion komandimi. Duke përdorur të dhënat e disponueshme, studiuesit kryen një skanim gjithëpërfshirës në internet dhe identifikuan se pajisjet e prekura ishin të lidhura me një prodhues specifik NVR. Gjetjet e tyre treguan se botnet-i shfrytëzon një dobësi të paraportuar të ekzekutimit të kodit në distancë (RCE) për të fituar hyrje të paautorizuar në pajisje.

Pas një inspektimi më të afërt, u zbulua se malware përfiton nga kredencialet e paracaktuara që gjenden në manualet e shitësit për produkte të ndryshme NVR. Ai përdor këto kredenciale për të instaluar një klient bot dhe për të kryer veprime të tjera me qëllim të keq. Duke u hulumtuar më tej në hetim, u zbulua se botnet-i synon gjithashtu një ruter LAN me valë të përdorur gjerësisht, i popullarizuar në mesin e përdoruesve shtëpiak dhe hoteleve. Ky ruter është i ndjeshëm ndaj një tjetër defekti RCE të ditës zero, i shfrytëzuar nga malware për aktivitetet e tij.

InfectedSlurs tregon pak përmirësime mbi Mirai

Malware i identifikuar, i quajtur 'InfectedSlurs' nga studiuesit, e mori emrin e tij nga përdorimi i gjuhës fyese të pranishme në domenet Command-and-Control (C2, C&C) dhe vargjet e koduara. Infrastruktura C2, e cila gjithashtu duket se lehtëson operacionet e hailBot, shfaq një përqendrim të dukshëm. Ky kërcënim është identifikuar si një variant JenX Mirai. Për më tepër, një hetim ka zbuluar një llogari Telegram të lidhur me grupin, megjithëse llogaria që atëherë është fshirë.

Përdoruesi që qëndron pas llogarisë ka ndarë pamjet e ekranit që zbulojnë afro dhjetë mijë bote duke përdorur protokollin Telnet dhe 12,000 bote shtesë që synojnë lloje/marka specifike pajisjesh si 'Vacron', 'ntel' dhe 'UTT-Bots'.

Pas analizës, u identifikuan modifikime minimale të kodit në krahasim me origjinalin Mirai Botnet , duke treguar se InfectedSlurs funksionon si një mjet DDoS vetëpërhapës. Ai mbështet sulmet që përdorin përmbytjet e kërkesave SYN, UDP dhe HTTP GET.

Ngjashëm me Mirai, InfectedSlurs i mungon një mekanizëm qëndrueshmërie. Meqenëse nuk ka asnjë patch të disponueshëm për pajisjet e prekura, ndërprerja e përkohshme e botnet-it mund të arrihet duke rindezur pajisjet NVR dhe ruterin.