Nexcorium Botnet
Cybersikkerhedsundersøgelser afslører, at trusselsaktører aktivt udnytter sikkerhedssvagheder i TBK DVR-systemer og udtjente TP-Link Wi-Fi-routere til at implementere varianter af Mirai-botnettet. Disse enheder, der ofte overses i sikkerhedsstrategier, udgør attraktive indgangspunkter på grund af forældet firmware, svage konfigurationer og sjældne patches. Deres udbredte implementering forstærker yderligere deres værdi som mål i store cyberangreb.
Indholdsfortegnelse
Udnyttelse af kendte sårbarheder ved indledende adgang
Kampagnen, der er rettet mod TBK DVR-enheder, udnytter CVE-2024-3721, en sårbarhed med mellemsværhedsgraden command injection (CVSS-score: 6,3), der påvirker modellerne DVR-4104 og DVR-4216. Ved at udnytte denne fejl leverer angriberne en Mirai-baseret nyttelast kendt som Nexcorium. Denne sårbarhed er ikke gået ubemærket hen i tidligere kampagner; den er tidligere blevet brugt til at implementere både Mirai-varianter og det nye RondoDox-botnet.
Derudover fremhævede tidligere forskning et loader-as-a-service-økosystem, der er ansvarligt for distribution af flere malware-familier, herunder RondoDox, Mirai og Morte, ved at misbruge svage legitimationsoplysninger og ældre sårbarheder på tværs af routere, IoT-enheder og virksomhedsapplikationer.
Implementering af infektionskæde og nyttelast
Angrebssekvensen begynder med udnyttelse af DVR-sårbarheden til at implementere et downloader-script. Dette script identificerer målsystemets Linux-arkitektur og udfører den relevante botnet-nyttelast. Når den er aktiveret, signalerer malwaren kompromitteret ved at vise en besked, der angiver, at der er etableret kontrol.
Nexcorium afspejler det strukturelle design af traditionelle Mirai-varianter og inkorporerer kodede konfigurationsdata, systemovervågningsmekanismer og dedikerede moduler til at lancere distribuerede denial-of-service-angreb.
Lateral bevægelse og vedholdenhedsteknikker
Malwaren udvider sin rækkevidde inden for netværk ved at udnytte yderligere sårbarheder, herunder CVE-2017-17215, der er rettet mod Huawei HG532-enheder. Den anvender også brute-force-teknikker ved hjælp af indlejrede legitimationsoplysninger til at kompromittere andre systemer via Telnet-adgang.
Når der er opnået adgang, udfører malwaren flere handlinger:
- Opretter en shell-session på den kompromitterede vært
- Konfigurerer persistens ved hjælp af crontab- og systemd-tjenester
- Opretter forbindelse til en fjern kommando-og-kontrolserver for at få instruktioner
Disse trin sikrer fortsat kontrol, samtidig med at risikoen for detektion og analyse minimeres.
Botnet-kapaciteter og operationel indvirkning
Efter at have sikret persistens gør Nexcorium det muligt for angribere at udføre en række DDoS-angreb ved hjælp af flere protokoller, herunder:
UDP
TCP
SMTP
Denne multi-vektor-kapacitet muliggør fleksible og slagkraftige angrebsscenarier, hvilket gør botnettet til en betydelig trussel mod den målrettede infrastruktur.
Vedvarende trusselsbillede og fremtidige risici
Nexcorium eksemplificerer udviklingen af IoT-fokuserede botnets, der kombinerer genbrug af exploits, kompatibilitet på tværs af arkitekturer og robuste persistensmekanismer. Integrationen af kendte sårbarheder sammen med aggressive brute-force-taktikker demonstrerer en høj grad af tilpasningsevne.
Den fortsatte afhængighed af standardoplysninger og ikke-patchede enheder sikrer, at IoT-økosystemer fortsat vil være et kritisk svagt punkt. Uden betydelige forbedringer i enhedssikkerhedspraksis vil disse systemer fortsat give næring til storstilede botnetoperationer og forstyrre den globale netværksstabilitet.
