InfectedSlurs Botnet

Hiljuti avastatud pahavara botnet "InfectedSlurs" kasutab kahte nullpäevast turvaauku koodi kaugtäitmise (RCE) jaoks, et ohustada ruutereid ja videosalvesti (NVR) seadmeid. See ähvardav tarkvara võtab nakatunud seadmete üle kontrolli, ühendades need DDoS-i (Distributed Denial of Service) sülemiga, mis tõenäoliselt renditakse välja rahalise kasu saamiseks. Analüütikud viitavad sellele, et botneti esimesed märgid aktiivsusest pärinevad 2022. aasta lõpust, kuid see avastati esmakordselt 2023. aasta oktoobris.

InfectedSlursi robotvõrgul oli õnnestunud jääda radari alla

Analüütikud tuvastasid kahtlase käitumise, mis hõlmas madala sagedusega sonde, mis üritasid autentida POST-i päringute kaudu, millele järgnes käsusüstimise katse. Olemasolevaid andmeid kasutades viisid teadlased Internetis läbi põhjaliku skannimise ja tuvastasid, et mõjutatud seadmed olid seotud konkreetse NVR-i tootjaga. Nende leiud näitasid, et botnet kasutab seadmesse volitamata sisenemiseks ära teatamata kaugkäivitamise (RCE) haavatavust.

Lähemal uurimisel selgus, et pahavara kasutab ära erinevate NVR-toodete müüja käsiraamatutes leiduvaid vaikemandaate. See kasutab neid mandaate bot-kliendi installimiseks ja muude pahatahtlike toimingute tegemiseks. Uurimist lähemalt uurides selgus, et botnet sihib ka laialdaselt kasutatavat traadita kohtvõrgu ruuterit, mis on populaarne kodukasutajate ja hotellide seas. See ruuter on vastuvõtlik teisele nullpäevase RCE veale, mida pahavara oma tegevuseks ära kasutab.

InfectedSlursil on Mirai osas vähe täiustusi

Tuvastatud pahavara, mida teadlased nimetasid InfectedSlursiks, teenis oma nime Command-and-Control (C2, C&C) domeenides ja kõvakodeeritud stringides esineva solvava keele kasutamise tõttu. C2 infrastruktuur, mis näib hõlbustavat ka hailBoti toiminguid, näitab märkimisväärset kontsentratsiooni. See oht on tuvastatud JenX Mirai variandina. Lisaks on uurimine avastanud klastriga seotud Telegrami konto, kuigi konto on sellest ajast peale kustutatud.

Konto taga olev kasutaja jagas ekraanipilte, mis näitasid ligi kümme tuhat Telneti protokolli kasutavat robotit ja veel 12 000 robotit, mis sihivad konkreetseid seadmetüüpe/brände, nagu „Vacron”, „ntel” ja „UTT-Bots”.

Analüüsil tuvastati minimaalsed koodimuudatused võrreldes algse Mirai Botnetiga , mis näitab, et InfectedSlurs toimib isepaljuva DDoS-tööriistana. See toetab rünnakuid, mis kasutavad SYN-i, UDP- ja HTTP GET-i päringu üleujutusi.

Sarnaselt Miraile puudub InfectedSlursil püsivusmehhanism. Kuna mõjutatud seadmete jaoks pole saadaval plaastrit, saab botneti ajutiselt häirida NVR-i ja ruuteri seadmete taaskäivitamisega.