InfectedSlurs 僵尸网络

最近发现的恶意软件僵尸网络“InfectedSlurs”正在利用两个远程代码执行 (RCE) 零日漏洞来危害路由器和录像机 (NVR) 设备。这种威胁软件控制受感染的设备，将它们纳入 DDoS（分布式拒绝服务）群，并可能出租以获取经济利益。分析师认为，该僵尸网络最早的活动迹象可以追溯到 2022 年底，但首次被发现是在 2023 年 10 月。

InfectedSlurs 僵尸网络成功地保持在雷达之下

分析人员检测到可疑行为，涉及尝试通过 POST 请求进行身份验证的低频探测，然后进行命令注入尝试。研究人员利用现有数据对互联网进行了全面扫描，发现受影响的设备与特定的 NVR 制造商相关。他们的发现表明，僵尸网络利用未报告的远程代码执行 (RCE) 漏洞来未经授权地访问设备。

仔细检查后发现，该恶意软件利用了各种 NVR 产品供应商手册中的默认凭据。它利用这些凭据来安装机器人客户端并执行其他恶意操作。进一步深入调查后发现，该僵尸网络还针对一种广泛使用的无线 LAN 路由器，在家庭用户和酒店中很受欢迎。该路由器容易受到恶意软件利用的另一个零日 RCE 漏洞的影响。

InfectedSlurs 与 Mirai 相比几乎没有什么改进

研究人员将已识别的恶意软件称为“InfectedSlurs”，它因使用命令与控制（C2、C&C）域和硬编码字符串中的攻击性语言而得名。 C2 基础设施似乎也促进了ailBot 的操作，显示出显着的集中度。此威胁被识别为 JenX Mirai 变种。此外，调查发现了与该集群关联的 Telegram 帐户，但该帐户已被删除。

该帐户背后的用户分享的屏幕截图显示，有近万个使用 Telnet 协议的机器人，以及另外 12,000 个针对特定设备类型/品牌（例如“Vacron”、“ntel”和“UTT-Bots”）的机器人。

经过分析，与原始Mirai 僵尸网络相比，发现了最少的代码修改，这表明 InfectedSlurs 作为一种自我传播的 DDoS 工具运行。它支持使用 SYN、UDP 和 HTTP GET 请求洪水的攻击。

与 Mirai 类似，InfectedSlurs 缺乏持久性机制。由于受影响的设备没有可用的补丁，可以通过重新启动NVR和路由器设备来暂时破坏僵尸网络。