InfectedSlurs Botnet

Yakın zamanda keşfedilen kötü amaçlı yazılım botnet'i 'InfectedSlurs', yönlendiricileri ve video kaydedici (NVR) cihazları tehlikeye atmak için Uzaktan Kod Yürütme'ye (RCE) yönelik iki sıfır gün güvenlik açığından yararlanıyor. Bu tehdit edici yazılım, virüslü cihazların kontrolünü ele geçirerek onları muhtemelen finansal kazanç için kiralanan bir DDoS (Dağıtılmış Hizmet Reddi) sürüsüne dahil ediyor. Analistler, botnet'in ilk faaliyet belirtilerinin 2022'nin sonlarına kadar uzandığını, ancak ilk olarak Ekim 2023'te ortaya çıkarıldığını öne sürüyor.

Enfekte Olan Bulamaç Botnet'i Radarın Altında Kalmayı Başardı

Analistler, POST istekleri aracılığıyla kimlik doğrulama girişiminde bulunan düşük frekanslı araştırmaları ve ardından bir komut ekleme girişimini içeren şüpheli davranışlar tespit etti. Araştırmacılar, mevcut verileri kullanarak İnternet'te kapsamlı bir tarama gerçekleştirdi ve etkilenen cihazların belirli bir NVR üreticisiyle ilişkili olduğunu belirledi. Bulgular, botnet'in, cihaza yetkisiz giriş elde etmek için bildirilmeyen bir uzaktan kod yürütme (RCE) güvenlik açığından yararlandığını gösterdi.

Daha yakından incelendiğinde, kötü amaçlı yazılımın, satıcının çeşitli NVR ürünlerine yönelik kılavuzlarında bulunan varsayılan kimlik bilgilerinden yararlandığı ortaya çıktı. Bu kimlik bilgilerini bir bot istemcisi yüklemek ve diğer kötü amaçlı eylemleri gerçekleştirmek için kullanır. Soruşturma daha da derinleştirildiğinde, botnet'in aynı zamanda ev kullanıcıları ve oteller arasında popüler olan, yaygın olarak kullanılan bir kablosuz LAN yönlendiricisini de hedef aldığı ortaya çıktı. Bu yönlendirici, kötü amaçlı yazılımın faaliyetleri için kullandığı başka bir sıfır gün RCE kusuruna karşı hassastır.

InfectedSlurs, Mirai'ye Göre Küçük Gelişmeler Gösteriyor

Araştırmacılar tarafından 'InfectedSlurs' olarak adlandırılan tanımlanan kötü amaçlı yazılım, adını Komuta ve Kontrol (C2, C&C) alanlarında ve sabit kodlanmış dizelerde bulunan saldırgan dilin kullanılmasından almıştır. DoluBot operasyonlarını da kolaylaştıracak gibi görünen C2 altyapısı dikkat çekici bir yoğunlaşma sergiliyor. Bu tehdit JenX Mirai varyantı olarak tanımlanıyor. Ek olarak, bir soruşturma kümeyle ilişkili bir Telegram hesabını ortaya çıkardı, ancak hesap daha sonra silindi.

Hesabın arkasındaki kullanıcı, Telnet protokolünü kullanan on bine yakın botun yanı sıra 'Vacron', 'ntel' ve 'UTT-Bots' gibi belirli cihaz türlerini/markalarını hedef alan ek 12.000 botu ortaya çıkaran ekran görüntülerini paylaştı.

Analizin ardından, orijinal Mirai Botnet'e kıyasla minimal kod değişiklikleri tespit edildi; bu, InfectedSlurs'un kendi kendine yayılan bir DDoS aracı olarak çalıştığını gösteriyor. SYN, UDP ve HTTP GET istek taşkınlarını kullanan saldırıları destekler.

Mirai'ye benzer şekilde InfectedSlurs'un da kalıcılık mekanizması yoktur. Etkilenen cihazlar için kullanılabilir bir yama bulunmadığından, NVR ve yönlendirici cihazların yeniden başlatılmasıyla botnet'in geçici olarak kesintiye uğratılması sağlanabilir.