Nexcoriumi botnet
Küberjulgeoleku uurimised näitavad, et ohutegijad kasutavad aktiivselt ära TBK DVR-süsteemide ja eluea lõppi jõudnud TP-Linki WiFi-ruuterite turvanõrkusi, et juurutada Mirai botneti variante. Need seadmed, mida turvastrateegiates sageli tähelepanuta jäetakse, pakuvad aegunud püsivara, nõrkade konfiguratsioonide ja harvaesineva värskenduse tõttu atraktiivseid sisenemispunkte. Nende laialdane kasutuselevõtt suurendab veelgi nende väärtust sihtmärkidena ulatuslikes küberrünnakutes.
Sisukord
Teadaolevate haavatavuste ärakasutamine esmase juurdepääsu saamiseks
TBK DVR-seadmetele suunatud kampaania kasutab ära CVE-2024-3721, mis on keskmise raskusastmega käskude süstimise haavatavus (CVSS skoor: 6,3), mis mõjutab DVR-4104 ja DVR-4216 mudeleid. Seda viga ära kasutades edastavad ründajad Mirai-põhise kasuliku koormuse, mida tuntakse Nexcoriumina. See haavatavus pole varasemates kampaaniates märkamata jäänud; seda on varem kasutatud nii Mirai variantide kui ka tekkiva RondoDoxi botneti juurutamiseks.
Lisaks tõid varasemad uuringud esile laadur-teenusena ökosüsteemi, mis levitab mitmeid pahavara perekondi, sealhulgas RondoDox, Mirai ja Morte, kuritarvitades nõrku volitusi ja pärandhaavatavusi ruuterites, IoT-seadmetes ja ettevõtterakendustes.
Nakkusahel ja kasuliku koormuse juurutamine
Rünnakujärjestus algab DVR-i haavatavuse ärakasutamisega allalaadimisskripti juurutamiseks. See skript tuvastab sihtsüsteemi Linuxi arhitektuuri ja käivitab sobiva botneti koormuse. Pärast aktiveerimist annab pahavara märku sissetungimisest, kuvades teate, mis näitab, et kontroll on loodud.
Nexcorium peegeldab traditsiooniliste Mirai variantide struktuurilist disaini, hõlmates kodeeritud konfiguratsiooniandmeid, süsteemi jälgimismehhanisme ja spetsiaalseid mooduleid hajutatud teenusetõkestusrünnakute käivitamiseks.
Külgmine liikumine ja püsivuse tehnikad
Pahavara laiendab oma ulatust võrkudes, kasutades ära täiendavaid haavatavusi, sealhulgas CVE-2017-17215, mis on suunatud Huawei HG532 seadmetele. Samuti kasutab see mandaatide loendite abil teiste süsteemide rikkujaks muutmiseks Telneti kaudu jõhkra jõu tehnikaid.
Kui juurdepääs on saavutatud, teeb pahavara mitu toimingut:
- Loob ohustatud hostil kestaseansi
- Konfigureerib püsivust crontabi ja systemd teenuste abil
- Ühendub juhiste saamiseks kaugjuhtimispuldi juhtimisserveriga
- Kustutab algse binaarfaili, et vähendada kohtuekspertiisi nähtavust
Need sammud tagavad jätkuva kontrolli, minimeerides samal ajal avastamise ja analüüsimise võimalusi.
Botnet’i võimekus ja operatiivne mõju
Pärast püsivuse tagamist võimaldab Nexcorium ründajatel teostada mitmesuguseid DDoS-rünnakuid, kasutades mitut protokolli, sealhulgas:
UDP
TCP
SMTP
See mitme vektori võimekus võimaldab paindlikke ja suure mõjuga rünnakustsenaariume, muutes botneti sihtotstarbelisele infrastruktuurile märkimisväärseks ohuks.
Püsivate ohtude maastik ja tulevased riskid
Nexcorium on näide asjade internetile keskendunud botnettide evolutsioonist, ühendades endas ärakasutamise taaskasutamise, arhitektuuridevahelise ühilduvuse ja tugevad püsivusmehhanismid. Selle teadaolevate haavatavuste integreerimine agressiivsete jõhkrate taktikatega näitab suurt kohanemisvõimet.
Jätkuv sõltuvus vaikemandaatidest ja parandamata seadmetest tagab, et asjade interneti ökosüsteemid jäävad kriitiliseks nõrgaks kohaks. Ilma seadmete turbepraktikate olulise täiustamiseta õhutavad need süsteemid jätkuvalt ulatuslikke botnettide toiminguid ja häirivad globaalse võrgu stabiilsust.
