Nexcorium Botnet

تحقیقات امنیت سایبری نشان می‌دهد که عاملان تهدید به طور فعال از نقاط ضعف امنیتی در سیستم‌های TBK DVR و روترهای Wi-Fi TP-Link که عمرشان به پایان رسیده است، برای استقرار انواع بات‌نت Mirai سوءاستفاده می‌کنند. این دستگاه‌ها که اغلب در استراتژی‌های امنیتی نادیده گرفته می‌شوند، به دلیل سیستم‌عامل قدیمی، پیکربندی‌های ضعیف و به‌روزرسانی‌های نامنظم، نقاط ورود جذابی هستند. استقرار گسترده آنها، ارزش آنها را به عنوان اهداف حملات سایبری در مقیاس بزرگ، بیشتر می‌کند.

بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده برای دسترسی اولیه

این کمپین که دستگاه‌های TBK DVR را هدف قرار می‌دهد، از آسیب‌پذیری تزریق دستور با شدت متوسط CVE-2024-3721 (امتیاز CVSS: 6.3) که مدل‌های DVR-4104 و DVR-4216 را تحت تأثیر قرار می‌دهد، استفاده می‌کند. مهاجمان با سوءاستفاده از این نقص، یک payload مبتنی بر Mirai به نام Nexcorium را ارائه می‌دهند. این آسیب‌پذیری در کمپین‌های قبلی نیز مورد توجه قرار گرفته است. قبلاً از آن برای استقرار انواع Mirai و بات‌نت نوظهور RondoDox استفاده شده است.

علاوه بر این، تحقیقات قبلی یک اکوسیستم loader-as-a-service را برجسته کرد که مسئول توزیع چندین خانواده بدافزار، از جمله RondoDox، Mirai و Morte، با سوءاستفاده از اعتبارنامه‌های ضعیف و آسیب‌پذیری‌های قدیمی در روترها، دستگاه‌های IoT و برنامه‌های سازمانی است.

زنجیره آلودگی و استقرار پیلود

توالی حمله با سوءاستفاده از آسیب‌پذیری DVR برای استقرار یک اسکریپت دانلودر آغاز می‌شود. این اسکریپت معماری لینوکس سیستم هدف را شناسایی کرده و بار داده‌ی بات‌نت مناسب را اجرا می‌کند. پس از فعال شدن، بدافزار با نمایش پیامی مبنی بر برقراری کنترل، سیگنال نفوذ را ارسال می‌کند.

Nexcorium طراحی ساختاری گونه‌های سنتی Mirai را منعکس می‌کند و شامل داده‌های پیکربندی رمزگذاری شده، مکانیسم‌های نظارت بر سیستم و ماژول‌های اختصاصی برای راه‌اندازی حملات انکار سرویس توزیع‌شده است.

تکنیک‌های حرکت جانبی و پشتکار

این بدافزار با سوءاستفاده از آسیب‌پذیری‌های اضافی، از جمله CVE-2017-17215، که دستگاه‌های Huawei HG532 را هدف قرار می‌دهد، دسترسی خود را در شبکه‌ها گسترش می‌دهد. همچنین با استفاده از فهرست‌های اعتبارنامه جاسازی‌شده، از تکنیک‌های brute-force برای به خطر انداختن سایر سیستم‌ها از طریق دسترسی Telnet استفاده می‌کند.

پس از دسترسی، بدافزار چندین اقدام انجام می‌دهد:

• یک جلسه shell روی میزبان آسیب‌پذیر برقرار می‌کند.
• با استفاده از سرویس‌های crontab و systemd، پایداری را پیکربندی می‌کند.
• برای دریافت دستورالعمل‌ها به یک سرور فرماندهی و کنترل از راه دور متصل می‌شود
• فایل باینری اصلی را حذف می‌کند تا قابلیت مشاهده‌ی جرم‌شناسی کاهش یابد.

این مراحل، کنترل مداوم را تضمین می‌کنند و در عین حال احتمال تشخیص و تجزیه و تحلیل را به حداقل می‌رسانند.

قابلیت‌های بات‌نت و تأثیر عملیاتی

پس از تأمین پایداری، Nexcorium به مهاجمان امکان می‌دهد طیف وسیعی از حملات DDoS را با استفاده از پروتکل‌های متعدد، از جمله موارد زیر، اجرا کنند:

بی سیم
تی سی پی
SMTP

این قابلیت چند برداری، سناریوهای حمله انعطاف‌پذیر و با تأثیر بالا را امکان‌پذیر می‌کند و این بات‌نت را به تهدیدی مهم برای زیرساخت‌های هدف تبدیل می‌کند.

چشم‌انداز تهدیدات مداوم و خطرات آینده

نکسکوریوم نمونه‌ای از تکامل بات‌نت‌های متمرکز بر اینترنت اشیا است که ترکیبی از استفاده مجدد از اکسپلویت، سازگاری بین معماری‌ها و مکانیسم‌های پایداری قوی را ارائه می‌دهد. ادغام آسیب‌پذیری‌های شناخته‌شده در کنار تاکتیک‌های تهاجمی حمله فراگیر، درجه بالایی از سازگاری را نشان می‌دهد.

اتکای مداوم به اعتبارنامه‌های پیش‌فرض و دستگاه‌های وصله نشده، تضمین می‌کند که اکوسیستم‌های اینترنت اشیا همچنان یک نقطه ضعف اساسی باقی خواهند ماند. بدون بهبود قابل توجه در شیوه‌های امنیتی دستگاه، این سیستم‌ها همچنان به عملیات بات‌نت در مقیاس بزرگ دامن زده و ثبات شبکه جهانی را مختل خواهند کرد.