Nexcorium Botnet
Les investigacions de ciberseguretat revelen que els actors amenaçadors estan explotant activament les debilitats de seguretat dels sistemes DVR TBK i dels encaminadors Wi-Fi TP-Link que ja no tenen vida útil per desplegar variants de la botnet Mirai. Aquests dispositius, sovint ignorats en les estratègies de seguretat, presenten punts d'entrada atractius a causa del firmware obsolet, les configuracions febles i l'aplicació poc freqüent de pegats. El seu desplegament generalitzat amplifica encara més el seu valor com a objectius en ciberatacs a gran escala.
Taula de continguts
Explotació de vulnerabilitats conegudes per a l'accés inicial
La campanya dirigida als dispositius DVR TBK aprofita la CVE-2024-3721, una vulnerabilitat d'injecció de comandes de gravetat mitjana (puntuació CVSS: 6.3) que afecta els models DVR-4104 i DVR-4216. En explotar aquesta falla, els atacants lliuren una càrrega útil basada en Mirai coneguda com a Nexcorium. Aquesta vulnerabilitat no ha passat desapercebuda en campanyes anteriors; anteriorment s'ha utilitzat per implementar tant variants de Mirai com la botnet emergent RondoDox.
A més, investigacions anteriors van destacar un ecosistema de carregador com a servei responsable de distribuir múltiples famílies de programari maliciós, com ara RondoDox, Mirai i Morte, mitjançant l'abús de credencials febles i vulnerabilitats heretades en encaminadors, dispositius IoT i aplicacions empresarials.
Cadena d'infecció i desplegament de càrrega útil
La seqüència d'atac comença amb l'explotació de la vulnerabilitat del DVR per desplegar un script de descàrrega. Aquest script identifica l'arquitectura Linux del sistema objectiu i executa la càrrega útil de la botnet adequada. Un cop activat, el programari maliciós indica que hi ha hagut un compromís mostrant un missatge que indica que s'ha establert el control.
Nexcorium reflecteix el disseny estructural de les variants tradicionals de Mirai, incorporant dades de configuració codificades, mecanismes de monitorització del sistema i mòduls dedicats per llançar atacs de denegació de servei distribuïts.
Tècniques de moviment lateral i persistència
El programari maliciós estén el seu abast dins de les xarxes explotant vulnerabilitats addicionals, inclosa la CVE-2017-17215, dirigida als dispositius Huawei HG532. També utilitza tècniques de força bruta utilitzant llistes de credencials incrustades per comprometre altres sistemes mitjançant l'accés Telnet.
Un cop s'ha aconseguit l'accés, el programari maliciós realitza diverses accions:
- Estableix una sessió de shell a l'amfitrió compromès
- Configura la persistència mitjançant els serveis crontab i systemd
- Es connecta a un servidor remot de comandament i control per obtenir instruccions.
Aquests passos garanteixen un control continu alhora que minimitzen les possibilitats de detecció i anàlisi.
Capacitats de les botnets i impacte operatiu
Després d'assegurar la persistència, Nexcorium permet als atacants executar una sèrie d'atacs DDoS utilitzant múltiples protocols, incloent-hi:
UDP
TCP
SMTP
Aquesta capacitat multivectorial permet escenaris d'atac flexibles i d'alt impacte, cosa que converteix la botnet en una amenaça significativa per a la infraestructura específica.
Panorama d'amenaces persistents i riscos futurs
Nexcorium exemplifica l'evolució de les botnets centrades en la IoT, combinant la reutilització d'exploits, la compatibilitat entre arquitectures i mecanismes de persistència robustos. La seva integració de vulnerabilitats conegudes juntament amb tàctiques agressives de força bruta demostra un alt grau d'adaptabilitat.
La dependència contínua de les credencials predeterminades i els dispositius sense pegats garanteix que els ecosistemes de la IoT continuaran sent un punt feble crític. Sense millores significatives en les pràctiques de seguretat dels dispositius, aquests sistemes continuaran alimentant les operacions de botnet a gran escala i interrompent l'estabilitat de la xarxa global.
