Nexcorium Botnet

Οι έρευνες για την κυβερνοασφάλεια αποκαλύπτουν ότι οι απειλητικοί παράγοντες εκμεταλλεύονται ενεργά τις αδυναμίες ασφαλείας στα συστήματα TBK DVR και στους δρομολογητές Wi-Fi TP-Link που βρίσκονται στο τέλος του κύκλου ζωής τους, για να αναπτύξουν παραλλαγές του botnet Mirai. Αυτές οι συσκευές, που συχνά παραβλέπονται στις στρατηγικές ασφαλείας, παρουσιάζουν ελκυστικά σημεία εισόδου λόγω παρωχημένου υλικολογισμικού, αδύναμων διαμορφώσεων και σπάνιας ενημέρωσης κώδικα. Η ευρεία ανάπτυξή τους ενισχύει περαιτέρω την αξία τους ως στόχων σε κυβερνοεπιθέσεις μεγάλης κλίμακας.

Εκμετάλλευση γνωστών ευπαθειών για αρχική πρόσβαση

Η καμπάνια που στοχεύει τις συσκευές TBK DVR αξιοποιεί το CVE-2024-3721, μια ευπάθεια εισβολής εντολών μεσαίας σοβαρότητας (βαθμολογία CVSS: 6,3) που επηρεάζει τα μοντέλα DVR-4104 και DVR-4216. Εκμεταλλευόμενοι αυτό το ελάττωμα, οι εισβολείς παραδίδουν ένα ωφέλιμο φορτίο που βασίζεται στο Mirai, γνωστό ως Nexcorium. Αυτή η ευπάθεια δεν έχει περάσει απαρατήρητη σε προηγούμενες καμπάνιες. Έχει χρησιμοποιηθεί στο παρελθόν για την ανάπτυξη τόσο παραλλαγών Mirai όσο και του αναδυόμενου botnet RondoDox.

Επιπλέον, προηγούμενη έρευνα ανέδειξε ένα οικοσύστημα loader-as-a-service που είναι υπεύθυνο για τη διανομή πολλαπλών οικογενειών κακόβουλου λογισμικού, συμπεριλαμβανομένων των RondoDox, Mirai και Morte, μέσω της κατάχρησης αδύναμων διαπιστευτηρίων και παλαιών ευπαθειών σε δρομολογητές, συσκευές IoT και εταιρικές εφαρμογές.

Αλυσίδα μόλυνσης και ανάπτυξη ωφέλιμου φορτίου

Η ακολουθία επίθεσης ξεκινά με την εκμετάλλευση της ευπάθειας του DVR για την ανάπτυξη ενός σεναρίου λήψης. Αυτό το σενάριο προσδιορίζει την αρχιτεκτονική Linux του συστήματος-στόχου και εκτελεί το κατάλληλο ωφέλιμο φορτίο botnet. Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό σηματοδοτεί παραβίαση εμφανίζοντας ένα μήνυμα που υποδεικνύει ότι έχει εδραιωθεί ο έλεγχος.

Το Nexcorium αντικατοπτρίζει τον δομικό σχεδιασμό των παραδοσιακών παραλλαγών του Mirai, ενσωματώνοντας κωδικοποιημένα δεδομένα διαμόρφωσης, μηχανισμούς παρακολούθησης συστήματος και ειδικές μονάδες για την εκκίνηση κατανεμημένων επιθέσεων άρνησης υπηρεσίας.

Τεχνικές Πλευρικής Κίνησης και Επιμονής

Το κακόβουλο λογισμικό επεκτείνει την εμβέλειά του εντός δικτύων εκμεταλλευόμενο επιπλέον ευπάθειες, συμπεριλαμβανομένου του CVE-2017-17215, που στοχεύει συσκευές Huawei HG532. Χρησιμοποιεί επίσης τεχνικές brute-force χρησιμοποιώντας ενσωματωμένες λίστες διαπιστευτηρίων για να θέσει σε κίνδυνο άλλα συστήματα μέσω πρόσβασης Telnet.

Μόλις επιτευχθεί η πρόσβαση, το κακόβουλο λογισμικό εκτελεί διάφορες ενέργειες:

• Δημιουργεί μια συνεδρία κελύφους στον παραβιασμένο κεντρικό υπολογιστή
• Ρυθμίζει τη διατήρηση χρησιμοποιώντας τις υπηρεσίες crontab και systemd
• Συνδέεται με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου για οδηγίες

Αυτά τα βήματα διασφαλίζουν τον συνεχή έλεγχο, ελαχιστοποιώντας παράλληλα τις πιθανότητες ανίχνευσης και ανάλυσης.

Δυνατότητες Botnet και Επιχειρησιακός Αντίκτυπος

Αφού εξασφαλίσει την επιμονή, το Nexcorium επιτρέπει στους εισβολείς να εκτελέσουν μια σειρά από επιθέσεις DDoS χρησιμοποιώντας πολλαπλά πρωτόκολλα, όπως:

UDP
TCP
SMTP

Αυτή η δυνατότητα πολλαπλών διανυσμάτων επιτρέπει ευέλικτα και σενάρια επίθεσης με υψηλό αντίκτυπο, καθιστώντας το botnet μια σημαντική απειλή για τις στοχευμένες υποδομές.

Τοπίο επίμονων απειλών και μελλοντικοί κίνδυνοι

Το Nexcorium αποτελεί παράδειγμα της εξέλιξης των botnets που επικεντρώνονται στο IoT, συνδυάζοντας την επαναχρησιμοποίηση exploits, τη συμβατότητα μεταξύ αρχιτεκτονικών και τους ισχυρούς μηχανισμούς persistence. Η ενσωμάτωση γνωστών τρωτών σημείων παράλληλα με επιθετικές τακτικές brute-force καταδεικνύει υψηλό βαθμό προσαρμοστικότητας.

Η συνεχιζόμενη εξάρτηση από προεπιλεγμένα διαπιστευτήρια και συσκευές χωρίς ενημερώσεις κώδικα διασφαλίζει ότι τα οικοσυστήματα IoT θα παραμείνουν ένα κρίσιμο αδύναμο σημείο. Χωρίς σημαντικές βελτιώσεις στις πρακτικές ασφάλειας συσκευών, αυτά τα συστήματα θα συνεχίσουν να τροφοδοτούν μεγάλης κλίμακας λειτουργίες botnet και να διαταράσσουν τη σταθερότητα του παγκόσμιου δικτύου.