InfectedSlurs Botnet

Недавно откривени малвер ботнет, „ИнфецтедСлурс“, користи две рањивости нултог дана за Ремоте Цоде Екецутион (РЦЕ) да би компромитовао рутере и уређаје за снимање видео записа (НВР). Овај претећи софтвер преузима контролу над зараженим уређајима, уграђујући их у ДДоС (Дистрибутед Дениал оф Сервице) рој, вероватно изнајмљен ради финансијске добити. Аналитичари сугеришу да најранији знаци активности ботнета потичу до краја 2022. године, али су први пут откривени у октобру 2023.

Ботнет ИнфецтедСлурс је успео да остане испод радара

Аналитичари су открили сумњиво понашање које укључује нискофреквентне сонде које покушавају аутентификацију путем ПОСТ захтева, након чега следи покушај убацивања команде. Користећи доступне податке, истраживачи су спровели свеобухватно скенирање широм интернета и утврдили да су погођени уређаји повезани са одређеним произвођачем НВР-а. Њихови налази су показали да ботнет искориштава рањивост непријављеног даљинског извршавања кода (РЦЕ) за неовлашћени улазак у уређај.

Након детаљнијег прегледа, откривено је да злонамерни софтвер користи предности подразумеваних акредитива који се налазе у упутствима произвођача за различите НВР производе. Користи ове акредитиве да инсталира бот клијента и изврши друге злонамерне радње. Удубљујући се даље у истрагу, откривено је да ботнет такође циља на широко коришћени бежични ЛАН рутер, популаран међу кућним корисницима и хотелима. Овај рутер је подложан још једној РЦЕ грешци нултог дана коју злонамерни софтвер користи за своје активности.

ИнфецтедСлурс показује мала побољшања у односу на Мираи

Идентификовани малвер, који су истраживачи назвали 'ИнфецтедСлурс', добио је име по коришћењу увредљивог језика присутног у доменима за команду и контролу (Ц2, Ц&Ц) и чврсто кодираних стрингова. Ц2 инфраструктура, која такође изгледа да олакшава рад ХаилБот-а, показује приметну концентрацију. Ова претња је идентификована као ЈенКс Мираи варијанта. Поред тога, истрага је открила Телеграм налог повезан са кластером, иако је налог од тада избрисан.

Корисник иза налога је поделио снимке екрана који откривају близу десет хиљада ботова који користе Телнет протокол и додатних 12.000 ботова који циљају одређене типове уређаја/брендове као што су „Вацрон“, „нтел“ и „УТТ-Ботс“.

Након анализе, идентификоване су минималне модификације кода у поређењу са оригиналним Мираи ботнетом , што указује да ИнфецтедСлурс функционише као ДДоС алат који се само шири. Подржава нападе који користе СИН, УДП и ХТТП ГЕТ поплаве захтева.

Слично Мираи-у, ИнфецтедСлурс нема механизам постојаности. Пошто не постоји доступна закрпа за погођене уређаје, привремено ометање ботнета може се постићи поновним покретањем НВР-а и уређаја рутера.