Nexcorium-bottiverkko
Kyberturvallisuustutkimukset paljastavat, että uhkatoimijat hyödyntävät aktiivisesti TBK:n DVR-järjestelmien ja käytöstä poistettujen TP-Linkin Wi-Fi-reitittimien tietoturvaheikkouksia ottaakseen käyttöön Mirai-botnet-verkon muunnelmia. Nämä laitteet, jotka usein unohdetaan tietoturvastrategioissa, tarjoavat houkuttelevia sisäänpääsykohtia vanhentuneen laiteohjelmiston, heikkojen kokoonpanojen ja harvoin päivitettävien korjausten vuoksi. Niiden laaja käyttöönotto vahvistaa entisestään niiden arvoa kohteina laajamittaisissa kyberhyökkäyksissä.
Sisällysluettelo
Tunnettujen haavoittuvuuksien hyödyntäminen alkukäyttöä varten
TBK DVR -laitteisiin kohdistuva kampanja hyödyntää CVE-2024-3721-haavoittuvuutta, joka on keskivakava komentojen injektiohaavoittuvuus (CVSS-pistemäärä: 6,3) ja vaikuttaa DVR-4104- ja DVR-4216-malleihin. Hyödyntämällä tätä haavoittuvuutta hyökkääjät voivat toimittaa Mirai-pohjaisen Nexcorium-nimisen hyötykuorman. Tämä haavoittuvuus ei ole jäänyt huomaamatta aiemmissa kampanjoissa; sitä on aiemmin käytetty sekä Mirai-varianttien että kehittyvän RondoDox-botnetin käyttöönottoon.
Lisäksi aiempi tutkimus korosti lataaja palveluna -ekosysteemiä, joka on vastuussa useiden haittaohjelmaperheiden, kuten RondoDoxin, Mirai'n ja Morten, levittämisestä väärinkäyttämällä heikkoja tunnistetietoja ja vanhoja haavoittuvuuksia reitittimissä, IoT-laitteissa ja yrityssovelluksissa.
Tartuntaketju ja hyötykuormien käyttöönotto
Hyökkäyssekvenssi alkaa DVR-haavoittuvuuden hyödyntämisellä latausskriptin käyttöönottoon. Tämä skripti tunnistaa kohdejärjestelmän Linux-arkkitehtuurin ja suorittaa asianmukaisen botnet-hyötykuorman. Aktivoitumisen jälkeen haittaohjelma viestittää murrosta näyttämällä viestin, joka ilmoittaa, että hallinta on saatu aikaan.
Nexcorium peilaa perinteisten Mirai-varianttien rakenteellista suunnittelua sisällyttämällä koodattua kokoonpanodataa, järjestelmän valvontamekanismeja ja erillisiä moduuleja hajautettujen palvelunestohyökkäysten käynnistämiseen.
Sivuttaisliike ja pysyvyystekniikat
Haittaohjelma laajentaa ulottuvuuttaan verkoissa hyödyntämällä lisähaavoittuvuuksia, kuten CVE-2017-17215, joka kohdistuu Huawei HG532 -laitteisiin. Se käyttää myös raa'an voiman tekniikoita upotettujen tunnisteluetteloiden avulla murtautuakseen muihin järjestelmiin Telnet-yhteyden kautta.
Kun pääsy järjestelmään on saatu, haittaohjelma suorittaa useita toimintoja:
- Muodostaa shell-istunnon vaarantuneella isännällä
- Konfiguroi pysyvyyden crontab- ja systemd-palveluiden avulla
- Yhdistää etäkomento- ja hallintapalvelimeen ohjeita varten
- Poistaa alkuperäisen binääritiedoston rikostutkinnan näkyvyyden vähentämiseksi
Nämä vaiheet varmistavat jatkuvan hallinnan ja minimoivat samalla havaitsemisen ja analysoinnin mahdollisuudet.
Bottiverkkojen ominaisuudet ja operatiivinen vaikutus
Pysyvyyden varmistamisen jälkeen Nexcorium mahdollistaa hyökkääjien suorittaa erilaisia DDoS-hyökkäyksiä useiden protokollien avulla, mukaan lukien:
UDP
TCP
SMTP-koodi
Tämä monialainen ominaisuus mahdollistaa joustavat ja tehokkaat hyökkäysskenaariot, mikä tekee botnetistä merkittävän uhan kohdennetulle infrastruktuurille.
Jatkuvat uhkakuvat ja tulevat riskit
Nexcorium on esimerkki IoT-keskeisten bottiverkkojen kehityksestä yhdistämällä hyökkäysten uudelleenkäytön, arkkitehtuurien välisen yhteensopivuuden ja vankat pysyvyysmekanismit. Sen tunnettujen haavoittuvuuksien integrointi aggressiivisiin raa'an voiman taktiikoihin osoittaa suurta sopeutumiskykyä.
Jatkuva riippuvuus oletustunnisteista ja korjaamattomista laitteista varmistaa, että IoT-ekosysteemit pysyvät kriittisenä heikkoutena. Ilman merkittäviä parannuksia laitteiden tietoturvakäytäntöihin nämä järjestelmät jatkavat laajamittaisen bottiverkkojen toiminnan ruokkimista ja häiritsevät maailmanlaajuisen verkon vakautta.
