InfectedSlurs Botnet

Ett nyligen upptäckt botnät för skadlig programvara, 'InfectedSlurs', utnyttjar två nolldagars sårbarheter för Remote Code Execution (RCE) för att äventyra routrar och videobandspelare (NVR). Den här hotfulla programvaran tar kontroll över de infekterade enheterna och införlivar dem i en DDoS-svärm (Distributed Denial of Service), som troligen hyrs ut för ekonomisk vinning. Analytiker antyder att botnätets tidigaste tecken på aktivitet går tillbaka till slutet av 2022, men det upptäcktes först i oktober 2023.

Botnätet InfectedSlurs hade lyckats ligga kvar under radarn

Analytiker upptäckte misstänkt beteende som involverade lågfrekventa sonder som försökte autentisera genom POST-förfrågningar, följt av en kommandoinjektion. Med hjälp av tillgängliga data genomförde forskare en omfattande genomsökning över Internet och identifierade att de berörda enheterna var associerade med en specifik NVR-tillverkare. Deras upptäckter tydde på att botnätet utnyttjar en orapporterad sårbarhet för fjärrkodexekvering (RCE) för att få obehörig tillgång till enheten.

Vid närmare granskning avslöjades det att skadlig programvara drar fördel av standardreferenser som finns i leverantörens manualer för olika NVR-produkter. Den använder dessa referenser för att installera en botklient och utföra andra skadliga åtgärder. När man fördjupade sig vidare i undersökningen avslöjades det att botnätet också riktar sig mot en allmänt använd trådlös LAN-router, populär bland hemanvändare och hotell. Den här routern är känslig för ytterligare ett nolldagars RCE-fel som utnyttjas av skadlig programvara för sina aktiviteter.

InfectedSlurs visar små förbättringar jämfört med Mirai

Den identifierade skadliga programvaran, kallad "InfectedSlurs" av forskare, fick sitt namn från användningen av stötande språk som finns i Command-and-Control-domänerna (C2, C&C) och hårdkodade strängar. C2-infrastrukturen, som också verkar underlätta hailBot-verksamheten, uppvisar en anmärkningsvärd koncentration. Detta hot identifieras som en JenX Mirai-variant. Dessutom har en utredning avslöjat ett Telegram-konto som är kopplat till klustret, även om kontot sedan dess har raderats.

Användaren bakom kontot delade skärmdumpar som avslöjade nära tiotusen botar som använder Telnet-protokollet och ytterligare 12 000 bots riktade mot specifika enhetstyper/märken som "Vacron", "ntel" och "UTT-Bots."

Vid analys identifierades minimala kodändringar jämfört med det ursprungliga Mirai Botnet , vilket indikerar att InfectedSlurs fungerar som ett självförökande DDoS-verktyg. Den stöder attacker som använder SYN, UDP och HTTP GET-förfrågningar.

I likhet med Mirai saknar InfectedSlurs en uthållighetsmekanism. Eftersom det inte finns någon tillgänglig patch för de berörda enheterna, kan en tillfällig störning av botnätet uppnås genom att starta om NVR och routerenheter.