Ботнет мрежата Nexcorium
Разследванията в областта на киберсигурността разкриват, че злонамерени лица активно използват слабостите в сигурността на DVR системите на TBK и излезлите от употреба Wi-Fi рутери на TP-Link, за да внедряват варианти на ботнета Mirai. Тези устройства, често пренебрегвани в стратегиите за сигурност, представляват привлекателни входни точки поради остарял фърмуер, слаби конфигурации и рядко инсталиране на корекции. Широкото им разпространение допълнително увеличава стойността им като цели при мащабни кибератаки.
Съдържание
Използване на известни уязвимости за първоначален достъп
Кампанията, насочена към DVR устройствата на TBK, използва CVE-2024-3721, уязвимост със средна тежест, която позволява инжектиране на команди (CVSS оценка: 6.3), засягаща моделите DVR-4104 и DVR-4216. Чрез използването на тази уязвимост, нападателите доставят полезен товар, базиран на Mirai, известен като Nexcorium. Тази уязвимост не е останала незабелязана в предишни кампании; преди това е била използвана за внедряване както на варианти на Mirai, така и на нововъзникващия ботнет RondoDox.
Освен това, по-ранни изследвания подчертаха екосистема от типа „зареждащ софтуер като услуга“, отговорна за разпространението на множество семейства зловреден софтуер, включително RondoDox, Mirai и Morte, чрез злоупотреба със слаби идентификационни данни и наследени уязвимости в рутери, IoT устройства и корпоративни приложения.
Верига на заразяване и разполагане на полезен товар
Атаката започва с експлоатация на уязвимостта на DVR за внедряване на скрипт за изтегляне. Този скрипт идентифицира Linux архитектурата на целевата система и изпълнява съответния полезен товар на ботнет мрежата. След активиране, зловредният софтуер сигнализира за компрометиране, като показва съобщение, показващо, че е установен контрол.
Nexcorium отразява структурния дизайн на традиционните варианти на Mirai, включвайки кодирани конфигурационни данни, механизми за системен мониторинг и специални модули за стартиране на разпределени атаки за отказ от услуга.
Техники за странично движение и постоянство
Зловредният софтуер разширява обхвата си в мрежите, като използва допълнителни уязвимости, включително CVE-2017-17215, насочена към устройства Huawei HG532. Той също така използва техники за груба сила, използвайки вградени списъци с идентификационни данни, за да компрометира други системи чрез Telnet достъп.
След като достъпът е осъществен, зловредният софтуер извършва няколко действия:
- Установява shell сесия на компрометирания хост
- Конфигурира постоянство, използвайки услугите crontab и systemd
- Свързва се с отдалечен сървър за командване и контрол за инструкции
- Изтрива оригиналния двоичен файл, за да намали видимостта на криминалистичните данни.
Тези стъпки осигуряват непрекъснат контрол, като същевременно минимизират шансовете за откриване и анализ.
Възможности на ботнет мрежата и оперативно въздействие
След осигуряване на постоянство, Nexcorium позволява на атакуващите да изпълняват редица DDoS атаки, използвайки множество протоколи, включително:
UDP
TCP
SMTP
Тази многовекторна способност позволява гъвкави и силно въздействащи сценарии за атака, което прави ботнет мрежата значителна заплаха за целевата инфраструктура.
Постоянен пейзаж на заплахите и бъдещи рискове
Nexcorium е пример за еволюцията на ботнет мрежи, фокусирани върху Интернет на нещата, комбинирайки повторна употреба на експлойти, съвместимост между различни архитектури и стабилни механизми за устойчивост. Интегрирането на известни уязвимости, наред с агресивни тактики за груба сила, демонстрира висока степен на адаптивност.
Продължаващата зависимост от стандартни идентификационни данни и неактуализирани устройства гарантира, че екосистемите на Интернет на нещата ще останат критична слаба точка. Без значителни подобрения в практиките за сигурност на устройствата, тези системи ще продължат да подхранват мащабни ботнет операции и да нарушават стабилността на глобалната мрежа.
