Nexcorium Botnet
Istrage kibernetičke sigurnosti otkrivaju da akteri prijetnji aktivno iskorištavaju sigurnosne slabosti u TBK DVR sustavima i TP-Link Wi-Fi usmjerivačima kojima je istekao vijek trajanja kako bi implementirali varijante Mirai botneta. Ovi uređaji, često zanemareni u sigurnosnim strategijama, predstavljaju atraktivne ulazne točke zbog zastarjelog firmvera, slabih konfiguracija i rijetkih zakrpa. Njihova široko rasprostranjena primjena dodatno povećava njihovu vrijednost kao meta u velikim kibernetičkim napadima.
Sadržaj
Iskorištavanje poznatih ranjivosti za početni pristup
Kampanja usmjerena na TBK DVR uređaje koristi CVE-2024-3721, ranjivost srednje ozbiljnosti s ubrizgavanjem naredbi (CVSS ocjena: 6,3) koja utječe na modele DVR-4104 i DVR-4216. Iskorištavanjem ove ranjivosti, napadači isporučuju Mirai platformu poznatu kao Nexcorium. Ova ranjivost nije prošla nezapaženo u prethodnim kampanjama; prethodno je korištena za implementaciju Mirai varijanti i novonastalog RondoDox botneta.
Osim toga, ranija istraživanja istaknula su ekosustav loader-as-a-service odgovoran za distribuciju više obitelji zlonamjernog softvera, uključujući RondoDox, Mirai i Morte, zlouporabom slabih vjerodajnica i naslijeđenih ranjivosti na usmjerivačima, IoT uređajima i poslovnim aplikacijama.
Lanac infekcije i implementacija korisnog tereta
Slijed napada započinje iskorištavanjem ranjivosti DVR-a za postavljanje skripte za preuzimanje. Ova skripta identificira Linux arhitekturu ciljnog sustava i izvršava odgovarajući botnet payload. Nakon aktivacije, zlonamjerni softver signalizira kompromitaciju prikazivanjem poruke koja označava da je kontrola uspostavljena.
Nexcorium odražava strukturni dizajn tradicionalnih Mirai varijanti, uključujući kodirane konfiguracijske podatke, mehanizme za nadzor sustava i namjenske module za pokretanje distribuiranih napada uskraćivanja usluge.
Tehnike bočnog kretanja i upornosti
Zlonamjerni softver proširuje svoj doseg unutar mreža iskorištavanjem dodatnih ranjivosti, uključujući CVE-2017-17215, koja cilja Huawei HG532 uređaje. Također koristi tehnike grube sile koristeći ugrađene popise vjerodajnica za kompromitiranje drugih sustava putem Telnet pristupa.
Nakon što se pristup ostvari, zlonamjerni softver izvršava nekoliko radnji:
- Uspostavlja shell sesiju na kompromitiranom hostu
- Konfigurira perzistenciju pomoću usluga crontab i systemd
- Povezuje se s udaljenim Command-and-Control poslužiteljem za upute
Ovi koraci osiguravaju kontinuiranu kontrolu uz istovremeno minimiziranje mogućnosti otkrivanja i analize.
Mogućnosti botneta i operativni utjecaj
Nakon što osigura trajnost, Nexcorium omogućuje napadačima izvršavanje niza DDoS napada koristeći više protokola, uključujući:
UDP
TCP
SMTP
Ova viševektorska sposobnost omogućuje fleksibilne i visokoučinkovite scenarije napada, što botnet čini značajnom prijetnjom ciljanoj infrastrukturi.
Trajne prijetnje i budući rizici
Nexcorium primjer je evolucije botneta usmjerenih na IoT, kombinirajući ponovnu upotrebu iskorištavanja, kompatibilnost između arhitektura i robusne mehanizme perzistencije. Njegova integracija poznatih ranjivosti uz agresivne taktike grube sile pokazuje visok stupanj prilagodljivosti.
Kontinuirano oslanjanje na zadane vjerodajnice i nezakrpe za uređaje osigurava da će IoT ekosustavi ostati kritična slaba točka. Bez značajnih poboljšanja u praksama sigurnosti uređaja, ovi će sustavi i dalje poticati velike operacije botneta i narušavati stabilnost globalne mreže.
