InfectedSlurs 殭屍網絡

最近發現的惡意軟體殭屍網路「InfectedSlurs」正在利用兩個遠端程式碼執行 (RCE) 零日漏洞來危害路由器和錄影機 (NVR) 裝置。這種威脅軟體控制受感染的設備，將它們納入 DDoS（分散式阻斷服務）群，並可能出租以獲得經濟利益。分析師認為，該殭屍網路最早的活動跡象可以追溯到 2022 年底，但首次被發現是在 2023 年 10 月。

InfectedSlurs 殭屍網路成功地保持在雷達之下

分析人員偵測到可疑行為，涉及嘗試透過 POST 請求進行身份驗證的低頻探測，然後進行命令注入嘗試。研究人員利用現有數據對網路進行了全面掃描，發現受影響的設備與特定的 NVR 製造商相關。他們的發現表明，殭屍網路利用未報告的遠端程式碼執行 (RCE) 漏洞來未經授權地存取設備。

仔細檢查後發現，該惡意軟體利用了各種 NVR 產品供應商手冊中的預設憑證。它利用這些憑證來安裝機器人用戶端並執行其他惡意操作。進一步深入調查後發現，該殭屍網路也針對廣泛使用的無線 LAN 路由器，在家庭用戶和飯店中很受歡迎。該路由器容易受到惡意軟體利用的另一個零日 RCE 漏洞的影響。

InfectedSlurs 與 Mirai 相比幾乎沒有什麼改進

研究人員將已識別的惡意軟體稱為“InfectedSlurs”，它因使用命令與控制（C2、C&C）域和硬編碼字串中的攻擊性語言而得名。 C2 基礎設施似乎也促進了ailBot 的操作，顯示出顯著的集中度。此威脅被識別為 JenX Mirai 變種。此外，調查發現了與該群集關聯的 Telegram 帳戶，但該帳戶已被刪除。

該帳戶背後的用戶分享的螢幕截圖顯示，有近萬個使用 Telnet 協議的機器人，以及另外 12,000 個針對特定設備類型/品牌（例如「Vacron」、「ntel」和「UTT-Bots」）的機器人。

經過分析，與原始Mirai 殭屍網路相比，發現了最少的程式碼修改，這表明 InfectedSlurs 作為一種自我傳播的 DDoS 工具運作。它支援使用 SYN、UDP 和 HTTP GET 請求洪水的攻擊。

與 Mirai 類似，InfectedSlurs 缺乏持久性機制。由於受影響的設備沒有可用的補丁，可以透過重新啟動NVR和路由器設備來暫時破壞殭屍網路。