Botnet ที่ติดเชื้อ Slurs

บอตเน็ตมัลแวร์ที่เพิ่งค้นพบ 'InfectedSlurs' กำลังใช้ประโยชน์จากช่องโหว่แบบ Zero-day สองช่องโหว่สำหรับ Remote Code Execution (RCE) เพื่อโจมตีเราเตอร์และอุปกรณ์บันทึกวิดีโอ (NVR) ซอฟต์แวร์ที่เป็นอันตรายนี้จะเข้าควบคุมอุปกรณ์ที่ติดไวรัส โดยรวมไว้ในกลุ่ม DDoS (Distributed Denial of Service) ซึ่งมีแนวโน้มว่าจะให้เช่าเพื่อผลประโยชน์ทางการเงิน นักวิเคราะห์แนะนำว่าสัญญาณแรกของกิจกรรมของบอตเน็ตนั้นย้อนกลับไปในช่วงปลายปี 2022 แต่ถูกค้นพบครั้งแรกในเดือนตุลาคม 2023

InfectedSlurs Botnet สามารถจัดการให้อยู่ภายใต้เรดาร์ได้

นักวิเคราะห์ตรวจพบพฤติกรรมที่น่าสงสัยที่เกี่ยวข้องกับโพรบความถี่ต่ำที่พยายามตรวจสอบสิทธิ์ผ่านคำขอ POST ตามด้วยความพยายามในการแทรกคำสั่ง นักวิจัยใช้ข้อมูลที่มีอยู่ทำการสแกนแบบครอบคลุมผ่านอินเทอร์เน็ต และระบุว่าอุปกรณ์ที่ได้รับผลกระทบมีความเกี่ยวข้องกับผู้ผลิต NVR รายใดรายหนึ่ง การค้นพบของพวกเขาระบุว่าบอตเน็ตใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดระยะไกล (RCE) ที่ไม่ได้รับรายงานเพื่อเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต

เมื่อตรวจสอบอย่างใกล้ชิด พบว่ามัลแวร์ใช้ประโยชน์จากข้อมูลประจำตัวเริ่มต้นที่พบในคู่มือของผู้จำหน่ายสำหรับผลิตภัณฑ์ NVR ต่างๆ ใช้ข้อมูลประจำตัวเหล่านี้เพื่อติดตั้งไคลเอ็นต์บอทและดำเนินการที่เป็นอันตรายอื่นๆ จากการสำรวจเพิ่มเติม พบว่าบอตเน็ตยังกำหนดเป้าหมายไปที่เราเตอร์ LAN ไร้สายที่ใช้กันอย่างแพร่หลาย ซึ่งเป็นที่นิยมในหมู่ผู้ใช้ตามบ้านและโรงแรม เราเตอร์นี้เสี่ยงต่อข้อบกพร่อง RCE แบบ Zero-day อีกประการหนึ่งซึ่งมัลแวร์ใช้ประโยชน์จากกิจกรรมต่างๆ

InfectedSlurs แสดงให้เห็นการปรับปรุงเล็กน้อยเหนือ Mirai

มัลแวร์ที่ระบุชื่อซึ่งนักวิจัยขนานนามว่า 'InfectedSlurs' ได้ชื่อมาจากการใช้ภาษาที่ไม่เหมาะสมที่มีอยู่ในโดเมน Command-and-Control (C2, C&C) และสตริงฮาร์ดโค้ด โครงสร้างพื้นฐาน C2 ซึ่งดูเหมือนว่าจะอำนวยความสะดวกในการดำเนินงานของ hailBot ก็แสดงให้เห็นถึงความเข้มข้นที่โดดเด่น ภัยคุกคามนี้ถูกระบุว่าเป็นตัวแปร JenX Mirai นอกจากนี้ การสอบสวนยังได้เปิดเผยบัญชี Telegram ที่เชื่อมโยงกับคลัสเตอร์ แม้ว่าบัญชีจะถูกลบออกไปแล้วก็ตาม

ผู้ใช้ที่อยู่เบื้องหลังบัญชีแชร์ภาพหน้าจอเผยให้เห็นบอทเกือบหมื่นตัวโดยใช้โปรโตคอล Telnet และบอทอีก 12,000 ตัวที่กำหนดเป้าหมายประเภทอุปกรณ์/แบรนด์เฉพาะ เช่น 'Vacron' 'ntel' และ 'UTT-Bots'

จากการวิเคราะห์ พบการแก้ไขโค้ดเพียงเล็กน้อยเมื่อเปรียบเทียบกับ Mirai Botnet ดั้งเดิม ซึ่งบ่งชี้ว่า InfectedSlurs ทำงานเป็นเครื่องมือ DDoS ที่เผยแพร่ด้วยตนเอง รองรับการโจมตีที่ใช้การฟลัดคำขอ SYN, UDP และ HTTP GET

เช่นเดียวกับ Mirai InfectedSlurs ขาดกลไกการคงอยู่ เนื่องจากไม่มีแพตช์สำหรับอุปกรณ์ที่ได้รับผลกระทบ การขัดขวางบ็อตเน็ตชั่วคราวสามารถทำได้โดยการรีบูตอุปกรณ์ NVR และเราเตอร์