Ботнет InfectedSlurs

Нещодавно виявлений ботнет зловмисного програмного забезпечення «InfectedSlurs» використовує дві вразливості нульового дня для віддаленого виконання коду (RCE), щоб зламати маршрутизатори та пристрої відеозапису (NVR). Це загрозливе програмне забезпечення контролює заражені пристрої, включаючи їх у рій DDoS (розподілена відмова в обслуговуванні), який, ймовірно, здається в оренду для фінансової вигоди. Аналітики припускають, що найперші ознаки активності ботнету відносяться до кінця 2022 року, але вперше його було виявлено в жовтні 2023 року.

Ботнету InfectedSlurs вдалося залишити поза увагою

Аналітики виявили підозрілу поведінку, пов’язану із спробами автентифікації низькочастотними зондами за допомогою запитів POST із подальшим впровадженням команди. Використовуючи наявні дані, дослідники провели всебічне сканування Інтернету та виявили, що уражені пристрої були пов’язані з певним виробником NVR. Їх висновки показали, що ботнет використовує вразливість незареєстрованого віддаленого виконання коду (RCE), щоб отримати несанкціонований доступ до пристрою.

Після детальнішої перевірки було виявлено, що зловмисне програмне забезпечення використовує облікові дані за замовчуванням, які містяться в посібниках постачальника для різних продуктів NVR. Він використовує ці облікові дані для встановлення клієнта-бота та виконання інших шкідливих дій. Продовжуючи розслідування, було виявлено, що ботнет також націлений на широко використовуваний маршрутизатор бездротової локальної мережі, популярний серед домашніх користувачів і готелів. Цей маршрутизатор чутливий до іншої помилки RCE нульового дня, яку зловмисне програмне забезпечення використовує для своєї діяльності.

InfectedSlurs демонструє невеликі покращення порівняно з Mirai

Виявлене зловмисне програмне забезпечення, яке дослідники назвали «InfectedSlurs», отримало свою назву завдяки використанню образливих слів, присутніх у доменах командування та управління (C2, C&C) і жорстко закодованих рядках. Інфраструктура C2, яка, здається, також полегшує роботу hailBot, демонструє помітну концентрацію. Ця загроза визначена як варіант JenX Mirai. Крім того, розслідування виявило обліковий запис Telegram, пов’язаний із кластером, хоча обліковий запис згодом було видалено.

Користувач, який стоїть за обліковим записом, поділився знімками екрана, на яких показано близько десяти тисяч ботів, які використовують протокол Telnet, і ще 12 000 ботів, націлених на певні типи/бренди пристроїв, наприклад «Vacron», «ntel» і «UTT-Bots».

Під час аналізу було виявлено мінімальні модифікації коду порівняно з оригінальним Mirai Botnet , що вказує на те, що InfectedSlurs працює як інструмент DDoS, що саморозповсюджується. Він підтримує атаки з використанням потоку запитів SYN, UDP і HTTP GET.

Подібно до Mirai, InfectedSlurs не має механізму збереження. Оскільки немає доступного виправлення для уражених пристроїв, тимчасово порушити роботу ботнету можна, перезавантаживши NVR і маршрутизатор.