Nexcorium बॉटनेट

साइबर सुरक्षा जांच से पता चलता है कि हमलावर TBK DVR सिस्टम और बंद हो चुके TP-Link वाई-फाई राउटरों में मौजूद सुरक्षा खामियों का सक्रिय रूप से फायदा उठाकर मिराई बॉटनेट के विभिन्न रूपों को फैला रहे हैं। सुरक्षा रणनीतियों में अक्सर अनदेखी किए जाने वाले ये उपकरण पुराने फर्मवेयर, कमजोर कॉन्फ़िगरेशन और अनियमित पैचिंग के कारण हमलावरों के लिए आकर्षक प्रवेश बिंदु बन जाते हैं। इनकी व्यापक तैनाती बड़े पैमाने पर साइबर हमलों में इन्हें लक्ष्य के रूप में और भी महत्वपूर्ण बना देती है।

प्रारंभिक पहुँच के लिए ज्ञात कमजोरियों का फायदा उठाना

TBK DVR उपकरणों को निशाना बनाने वाले इस अभियान में CVE-2024-3721 नामक मध्यम स्तर की कमांड इंजेक्शन भेद्यता (CVSS स्कोर: 6.3) का उपयोग किया गया है, जो DVR-4104 और DVR-4216 मॉडल को प्रभावित करती है। इस खामी का फायदा उठाकर हमलावर मिराई-आधारित पेलोड, जिसे नेक्सकोरियम के नाम से जाना जाता है, को वितरित करते हैं। यह भेद्यता पहले के अभियानों में भी देखी गई है; इसका उपयोग पहले मिराई वेरिएंट और उभरते रोंडोडॉक्स बॉटनेट दोनों को तैनात करने के लिए किया गया है।

इसके अलावा, पहले के शोध में लोडर-एज़-ए-सर्विस इकोसिस्टम पर प्रकाश डाला गया था जो राउटर, आईओटी डिवाइस और एंटरप्राइज़ एप्लिकेशन में कमजोर क्रेडेंशियल और पुरानी कमजोरियों का दुरुपयोग करके रोंडोडॉक्स, मिराई और मोर्टे सहित कई मैलवेयर परिवारों को वितरित करने के लिए जिम्मेदार था।

संक्रमण श्रृंखला और पेलोड परिनियोजन

हमले की शुरुआत DVR भेद्यता का फायदा उठाकर डाउनलोडर स्क्रिप्ट को तैनात करने से होती है। यह स्क्रिप्ट लक्ष्य सिस्टम के लिनक्स आर्किटेक्चर की पहचान करती है और उपयुक्त बॉटनेट पेलोड को निष्पादित करती है। सक्रिय होने पर, मैलवेयर एक संदेश प्रदर्शित करके सिस्टम पर नियंत्रण स्थापित होने का संकेत देता है।

नेक्सकोरियम पारंपरिक मिराई वेरिएंट के संरचनात्मक डिजाइन को प्रतिबिंबित करता है, जिसमें एन्कोडेड कॉन्फ़िगरेशन डेटा, सिस्टम मॉनिटरिंग तंत्र और वितरित डिनायल-ऑफ-सर्विस हमलों को शुरू करने के लिए समर्पित मॉड्यूल शामिल हैं।

पार्श्व गति और दृढ़ता तकनीकें

यह मैलवेयर CVE-2017-17215 सहित अन्य कमजोरियों का फायदा उठाकर नेटवर्क में अपनी पहुंच बढ़ाता है और Huawei HG532 उपकरणों को निशाना बनाता है। यह एम्बेडेड क्रेडेंशियल सूचियों का उपयोग करके ब्रूट-फोर्स तकनीकों के जरिए टेलनेट एक्सेस के माध्यम से अन्य सिस्टमों को भी हैक कर लेता है।

एक बार एक्सेस प्राप्त हो जाने के बाद, मैलवेयर कई क्रियाएं करता है:

• प्रभावित होस्ट पर एक शेल सत्र स्थापित करता है
• crontab और systemd सेवाओं का उपयोग करके निरंतरता को कॉन्फ़िगर करता है
• निर्देशों के लिए एक रिमोट कमांड-एंड-कंट्रोल सर्वर से कनेक्ट होता है
• फोरेंसिक दृश्यता को कम करने के लिए मूल बाइनरी को हटाता है

ये कदम निरंतर नियंत्रण सुनिश्चित करते हुए पता लगने और विश्लेषण की संभावनाओं को कम करते हैं।

बॉटनेट की क्षमताएं और परिचालन प्रभाव

सुरक्षा सुनिश्चित करने के बाद, नेक्सकोरियम हमलावरों को कई प्रोटोकॉल का उपयोग करके विभिन्न प्रकार के डीडीओएस हमले करने में सक्षम बनाता है, जिनमें शामिल हैं:

यूडीपी
टीसीपी
एसएमटीपी

यह मल्टी-वेक्टर क्षमता लचीले और उच्च प्रभाव वाले हमले के परिदृश्यों की अनुमति देती है, जिससे बॉटनेट लक्षित बुनियादी ढांचे के लिए एक महत्वपूर्ण खतरा बन जाता है।

निरंतर खतरे का परिदृश्य और भविष्य के जोखिम

नेक्सकोरियम, IoT-केंद्रित बॉटनेट्स के विकास का एक उत्कृष्ट उदाहरण है, जो एक्सप्लॉइट रियूज़, क्रॉस-आर्किटेक्चर कम्पैटिबिलिटी और मजबूत परसिस्टेंस मैकेनिज्म को संयोजित करता है। ज्ञात कमजोरियों के एकीकरण के साथ-साथ आक्रामक ब्रूट-फोर्स रणनीति का उपयोग इसकी उच्च स्तर की अनुकूलन क्षमता को दर्शाता है।

डिफ़ॉल्ट क्रेडेंशियल्स और अनपैच्ड डिवाइसों पर निरंतर निर्भरता यह सुनिश्चित करती है कि IoT इकोसिस्टम एक महत्वपूर्ण कमज़ोरी बना रहेगा। डिवाइस सुरक्षा प्रथाओं में महत्वपूर्ण सुधार के बिना, ये सिस्टम बड़े पैमाने पर बॉटनेट संचालन को बढ़ावा देते रहेंगे और वैश्विक नेटवर्क स्थिरता को बाधित करते रहेंगे।