Botnet Nexcorium
Vyšetřování v oblasti kybernetické bezpečnosti odhaluje, že útočníci aktivně zneužívají bezpečnostní slabiny v systémech DVR TBK a vyřazených Wi-Fi routerech TP-Link k nasazení variant botnetu Mirai. Tato zařízení, která jsou v bezpečnostních strategiích často přehlížena, představují atraktivní vstupní body kvůli zastaralému firmwaru, slabé konfiguraci a nepravidelným aktualizacím. Jejich široké rozšíření dále zvyšuje jejich hodnotu jako cílů při rozsáhlých kybernetických útocích.
Obsah
Zneužití známých zranitelností pro počáteční přístup
Kampaň zaměřená na digitální videorekordéry TBK využívá zranitelnost CVE-2024-3721, což je středně závažná zranitelnost typu „command injection“ (skóre CVSS: 6,3), která postihuje modely DVR-4104 a DVR-4216. Zneužitím této chyby útočníci šíří datový balíček založený na platformě Mirai známý jako Nexcorium. Tato zranitelnost nezůstala bez povšimnutí v předchozích kampaních; dříve byla použita k nasazení jak variant platformy Mirai, tak i nově vznikajícího botnetu RondoDox.
Dřívější výzkum navíc zdůraznil ekosystém zavaděčů jako služby (loader-as-a-service), který je zodpovědný za distribuci několika rodin malwaru, včetně RondoDox, Mirai a Morte, zneužíváním slabých přihlašovacích údajů a starších zranitelností napříč routery, zařízeními internetu věcí a podnikovými aplikacemi.
Řetězec infekce a nasazení datového zatížení
Útočná sekvence začíná zneužitím zranitelnosti DVR k nasazení skriptu pro stahování. Tento skript identifikuje linuxovou architekturu cílového systému a spustí příslušný botnetový datový soubor. Po aktivaci malware signalizuje kompromitaci zobrazením zprávy oznamující, že byla nastolena kontrola.
Nexcorium zrcadlí strukturální design tradičních variant Mirai a zahrnuje kódovaná konfigurační data, mechanismy monitorování systému a specializované moduly pro spouštění distribuovaných útoků typu denial-of-service.
Techniky laterálního pohybu a vytrvalosti
Malware rozšiřuje svůj dosah v sítích zneužíváním dalších zranitelností, včetně CVE-2017-17215, zaměřené na zařízení Huawei HG532. Využívá také techniky hrubé síly s využitím vložených seznamů přihlašovacích údajů k napadení jiných systémů prostřednictvím přístupu přes Telnet.
Jakmile je přístup získán, malware provede několik akcí:
- Naváže relaci shellu na kompromitovaném hostiteli.
- Konfiguruje perzistenci pomocí služeb crontab a systemd
- Připojuje se ke vzdálenému serveru Command-and-Control pro instrukce.
- Smaže původní binární soubor, aby se snížila forenzní viditelnost.
Tyto kroky zajišťují neustálou kontrolu a zároveň minimalizují pravděpodobnost odhalení a analýzy.
Možnosti botnetů a jejich provozní dopad
Po zajištění perzistence umožňuje Nexcorium útočníkům provádět řadu DDoS útoků s využitím více protokolů, včetně:
UDP
TCP
SMTP
Tato multivektorová schopnost umožňuje flexibilní a vysoce dopadové scénáře útoku, což z botnetu činí významnou hrozbu pro cílovou infrastrukturu.
Přetrvávající hrozby a budoucí rizika
Nexcorium je příkladem evoluce botnetů zaměřených na IoT, kombinuje opětovné použití exploitů, kompatibilitu napříč architekturami a robustní mechanismy perzistence. Jeho integrace známých zranitelností spolu s agresivními taktikami hrubé síly demonstruje vysoký stupeň adaptability.
Pokračující závislost na výchozích přihlašovacích údajích a zařízeních bez záplat zajišťuje, že ekosystémy IoT zůstanou kritickým slabým místem. Bez významného zlepšení postupů zabezpečení zařízení budou tyto systémy i nadále podporovat rozsáhlé operace botnetů a narušovat stabilitu globální sítě.
