Nexcorium Botnet

חקירות אבטחת סייבר מגלות כי גורמי איום מנצלים באופן פעיל חולשות אבטחה במערכות DVR של TBK ובנתבי Wi-Fi של TP-Link בסוף חייהם כדי לפרוס גרסאות של רשת הבוטים Mirai. מכשירים אלה, שלעתים קרובות מתעלמים מהם באסטרטגיות אבטחה, מציגים נקודות כניסה אטרקטיביות עקב קושחה מיושנת, תצורות חלשות ותיקונים לא נדירים. פריסתם הנרחבת מעצימה עוד יותר את ערכם כיעדים במתקפות סייבר בקנה מידה גדול.

ניצול פגיעויות ידועות לצורך גישה ראשונית

הקמפיין המכוון למכשירי DVR של TBK ממנף את CVE-2024-3721, פגיעות הזרקת פקודות בדרגת חומרה בינונית (ציון CVSS: 6.3) המשפיעה על דגמי DVR-4104 ו-DVR-4216. על ידי ניצול פגם זה, תוקפים מספקים מטען מבוסס Mirai המכונה Nexcorium. פגיעות זו לא נעלמה מעיני קמפיינים קודמים; היא שימשה בעבר לפריסת גרסאות Mirai ורשת הבוטים המתפתחת RondoDox.

בנוסף, מחקר קודם הדגיש מערכת אקולוגית של טוען-כשירות (loader-as-a-service) האחראית להפצת משפחות מרובות של תוכנות זדוניות, כולל RondoDox, Mirai ו-Morte, על ידי ניצול לרעה של אישורים חלשים ופגיעויות מדור קודם בנתבים, מכשירי IoT ויישומי ארגונים.

שרשרת הדבקה ופריסת מטען

רצף ההתקפה מתחיל בניצול פגיעות ה-DVR כדי לפרוס סקריפט הורדה. סקריפט זה מזהה את ארכיטקטורת הלינוקס של מערכת היעד ומבצע את מטען הבוטנט המתאים. לאחר הפעלתו, התוכנה הזדונית מאותתת על פגיעה על ידי הצגת הודעה המציינת שנוצרה שליטה.

Nexcorium משקף את העיצוב המבני של גרסאות Mirai המסורתיות, ומשלב נתוני תצורה מקודדים, מנגנוני ניטור מערכת ומודולים ייעודיים להפעלת התקפות מניעת שירות מבוזרות.

תנועה צידית וטכניקות התמדה

הנוזקה מרחיבה את טווח ההגעה שלה לרשתות על ידי ניצול פגיעויות נוספות, כולל CVE-2017-17215, המכוונות למכשירי Huawei HG532. היא גם משתמשת בטכניקות Brute-Force באמצעות רשימות אישורים מוטמעות כדי לפגוע במערכות אחרות באמצעות גישה ל-Telnet.

לאחר שמושגת גישה, התוכנה הזדונית מבצעת מספר פעולות:

• יוצר סשן מעטפת על המארח הפגוע
• מגדיר את ההתמדה באמצעות שירותי crontab ו-systemd
• מתחבר לשרת פיקוד ובקרה מרוחק לקבלת הוראות
• מוחק את הקובץ הבינארי המקורי כדי להפחית את הנראות הפורנזית

צעדים אלה מבטיחים בקרה מתמשכת תוך מזעור הסיכויים לגילוי וניתוח.

יכולות הבוטנט והשפעה תפעולית

לאחר אבטחת עמידות, Nexcorium מאפשר לתוקפים לבצע מגוון של התקפות DDoS באמצעות פרוטוקולים מרובים, כולל:

UDP
TCP
SMTP

יכולת רב-וקטורית זו מאפשרת תרחישי תקיפה גמישים ובעלי השפעה גבוהה, מה שהופך את הבוטנט לאיום משמעותי על תשתית ממוקדת.

נוף איומים מתמשך וסיכונים עתידיים

Nexcorium מדגים את האבולוציה של רשתות בוט (botnets) המתמקדות ב-IoT, ומשלבים שימוש חוזר בניצול פרצות, תאימות בין ארכיטקטורות ומנגנוני שמירה חזקים. שילובו של פגיעויות ידועות לצד טקטיקות כוח אגרסיביות מדגים רמה גבוהה של יכולת הסתגלות.

ההסתמכות המתמשכת על אישורי ברירת מחדל ומכשירים שלא תוקנו מבטיחה שמערכות אקולוגיות של האינטרנט של הדברים יישארו נקודת תורפה קריטית. ללא שיפורים משמעותיים בשיטות אבטחת המכשירים, מערכות אלו ימשיכו להניע פעולות בוטנט בקנה מידה גדול ולשבש את יציבות הרשת הגלובלית.