InfectedSlurs Botnet

சமீபத்தில் கண்டுபிடிக்கப்பட்ட மால்வேர் பாட்நெட், 'InfectedSlurs', ரவுட்டர்கள் மற்றும் வீடியோ ரெக்கார்டர் (NVR) சாதனங்களை சமரசம் செய்ய ரிமோட் கோட் எக்ஸிகியூஷனுக்கு (RCE) இரண்டு பூஜ்ஜிய நாள் பாதிப்புகளை மேம்படுத்துகிறது. இந்த அச்சுறுத்தும் மென்பொருள் பாதிக்கப்பட்ட சாதனங்களின் கட்டுப்பாட்டை எடுத்து, அவற்றை ஒரு DDoS (விநியோகிக்கப்பட்ட சேவை மறுப்பு) குழுவில் இணைத்து, நிதி ஆதாயத்திற்காக வாடகைக்கு விடப்படலாம். பாட்நெட்டின் செயல்பாட்டின் ஆரம்ப அறிகுறிகள் 2022 இன் பிற்பகுதியில் இருப்பதாக ஆய்வாளர்கள் தெரிவிக்கின்றனர், ஆனால் இது முதலில் அக்டோபர் 2023 இல் கண்டறியப்பட்டது.

பாதிக்கப்பட்ட ஸ்லர்ஸ் பாட்நெட் ரேடாரின் கீழ் இருக்க முடிந்தது

POST கோரிக்கைகள் மூலம் அங்கீகாரத்தை முயற்சிக்கும் குறைந்த அதிர்வெண் ஆய்வுகளை உள்ளடக்கிய சந்தேகத்திற்கிடமான நடத்தையை ஆய்வாளர்கள் கண்டறிந்தனர், அதைத் தொடர்ந்து கட்டளை ஊசி முயற்சி. கிடைக்கக்கூடிய தரவைப் பயன்படுத்தி, ஆராய்ச்சியாளர்கள் இணையம் முழுவதும் ஒரு விரிவான ஸ்கேன் செய்து, பாதிக்கப்பட்ட சாதனங்கள் ஒரு குறிப்பிட்ட NVR உற்பத்தியாளருடன் தொடர்புடையதாக இருப்பதைக் கண்டறிந்தனர். அவர்களின் கண்டுபிடிப்புகள், போட்நெட் சாதனத்தில் அங்கீகரிக்கப்படாத நுழைவைப் பெறுவதற்கு, அறிவிக்கப்படாத ரிமோட் கோட் எக்ஸிகியூஷன் (RCE) பாதிப்பைப் பயன்படுத்துகிறது என்று சுட்டிக்காட்டியது.

நுணுக்கமாக ஆய்வு செய்ததில், பல்வேறு NVR தயாரிப்புகளுக்கான விற்பனையாளரின் கையேடுகளில் உள்ள இயல்புநிலை சான்றுகளை மால்வேர் பயன்படுத்திக் கொள்வது தெரியவந்தது. இது ஒரு போட் கிளையண்டை நிறுவவும் மற்ற தீங்கிழைக்கும் செயல்களைச் செய்யவும் இந்த நற்சான்றிதழ்களைப் பயன்படுத்துகிறது. விசாரணையில் மேலும் ஆழ்ந்து, பாட்நெட் பரவலாகப் பயன்படுத்தப்படும் வயர்லெஸ் லேன் ரூட்டரையும் குறிவைக்கிறது, இது வீட்டுப் பயனர்கள் மற்றும் ஹோட்டல்களிடையே பிரபலமானது. இந்த திசைவி, தீம்பொருளால் அதன் செயல்பாடுகளுக்குப் பயன்படுத்தப்படும் மற்றொரு பூஜ்ஜிய நாள் RCE குறைபாட்டிற்கு ஆளாகிறது.

InfectedSlurs மிராய் மீது சிறிய முன்னேற்றங்களைக் காட்டுகிறது

அடையாளம் காணப்பட்ட தீம்பொருள், ஆராய்ச்சியாளர்களால் 'InfectedSlurs' என பெயரிடப்பட்டது, கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) டொமைன்கள் மற்றும் ஹார்டுகோடட் சரங்களில் உள்ள தாக்குதல் மொழியைப் பயன்படுத்துவதன் மூலம் அதன் பெயரைப் பெற்றது. C2 உள்கட்டமைப்பு, இது hailBot செயல்பாடுகளை எளிதாக்குகிறது, குறிப்பிடத்தக்க செறிவைக் காட்டுகிறது. இந்த அச்சுறுத்தல் JenX Mirai மாறுபாடாக அடையாளம் காணப்பட்டுள்ளது. கூடுதலாக, ஒரு விசாரணையில் க்ளஸ்டருடன் தொடர்புடைய டெலிகிராம் கணக்கு கண்டுபிடிக்கப்பட்டது, இருப்பினும் கணக்கு நீக்கப்பட்டது.

கணக்கின் பின்னால் உள்ள பயனர் டெல்நெட் நெறிமுறையைப் பயன்படுத்தி பத்தாயிரம் போட்களை வெளிப்படுத்தும் ஸ்கிரீன் ஷாட்களைப் பகிர்ந்துள்ளார் மற்றும் 'Vacron,' 'ntel,' மற்றும் 'UTT-Bots' போன்ற குறிப்பிட்ட சாதன வகைகள்/பிராண்டுகளை இலக்காகக் கொண்ட கூடுதல் 12,000 போட்களைப் பகிர்ந்துள்ளார்.

பகுப்பாய்வின் போது, அசல் Mirai Botnet உடன் ஒப்பிடும்போது குறைந்தபட்ச குறியீடு மாற்றங்கள் அடையாளம் காணப்பட்டன, InfectedSlurs ஒரு சுய-பிரச்சார DDoS கருவியாக செயல்படுகிறது என்பதைக் குறிக்கிறது. இது SYN, UDP மற்றும் HTTP GET கோரிக்கை வெள்ளங்களைப் பயன்படுத்தும் தாக்குதல்களை ஆதரிக்கிறது.

Mirai போன்றே, InfectedSlurs க்கும் ஒரு நிலைத்தன்மை இல்லை. பாதிக்கப்பட்ட சாதனங்களுக்கு இணைப்பு கிடைக்காததால், NVR மற்றும் ரூட்டர் சாதனங்களை மறுதொடக்கம் செய்வதன் மூலம் பாட்நெட்டை தற்காலிகமாக சீர்குலைக்க முடியும்.