Nexcorium botnet
A kiberbiztonsági vizsgálatok azt mutatják, hogy a fenyegetések szereplői aktívan kihasználják a TBK DVR rendszerek és az élettartamuk végét elérő TP-Link Wi-Fi routerek biztonsági gyengeségeit a Mirai botnet variánsainak telepítéséhez. Ezek az eszközök, amelyeket a biztonsági stratégiákban gyakran figyelmen kívül hagynak, vonzó belépési pontokat jelentenek az elavult firmware, a gyenge konfigurációk és a ritka javítások miatt. Széles körű elterjedésük tovább növeli értéküket célpontként a nagyszabású kibertámadásokban.
Tartalomjegyzék
Ismert sebezhetőségek kihasználása a kezdeti hozzáféréshez
A TBK DVR eszközöket célzó kampány a CVE-2024-3721 nevű közepes súlyosságú parancsbefecskendezési sebezhetőséget (CVSS pontszám: 6,3) használja ki, amely a DVR-4104 és DVR-4216 modelleket érinti. Ezt a hibát kihasználva a támadók egy Mirai-alapú, Nexcorium nevű hasznos adatot juttatnak el a rendszerbe. Ez a sebezhetőség a korábbi kampányokban sem maradt észrevétlen; korábban már használták mind a Mirai variánsok, mind a feltörekvő RondoDox botnet telepítésére.
Ezenkívül korábbi kutatások rámutattak egy olyan betöltő-szolgáltatásként ökoszisztémára, amely több kártevőcsalád, köztük a RondoDox, a Mirai és a Morte terjesztésére felelős a gyenge hitelesítő adatok és a régi sebezhetőségek kihasználásával routereken, IoT-eszközökön és vállalati alkalmazásokon keresztül.
Fertőzéslánc és hasznos teher telepítése
A támadási sorozat a DVR sebezhetőségének kihasználásával kezdődik egy letöltő szkript telepítéséhez. Ez a szkript azonosítja a célrendszer Linux architektúráját, és végrehajtja a megfelelő botnet hasznos adatot. Aktiválás után a rosszindulatú program egy üzenet megjelenítésével jelzi a behatolást, amely azt jelzi, hogy az irányítás létrejött.
A Nexcorium a hagyományos Mirai variánsok szerkezeti felépítését tükrözi, kódolt konfigurációs adatokat, rendszerfelügyeleti mechanizmusokat és dedikált modulokat tartalmaz az elosztott szolgáltatásmegtagadási támadások indításához.
Oldalirányú mozgás és kitartás technikái
A rosszindulatú program további sebezhetőségeket kihasználva, többek között a CVE-2017-17215-öt, amely a Huawei HG532 eszközöket célozza meg, kiterjeszti hatókörét a hálózatokon belül. Emellett beágyazott hitelesítő adatok listáját használó, brute-force technikákat is alkalmaz, hogy Telnet hozzáférésen keresztül más rendszereket feltörjön.
A hozzáférés megszerzése után a rosszindulatú program több műveletet hajt végre:
- Létrehoz egy shell munkamenetet a feltört gazdagépen
- A perzisztencia konfigurálása crontab és systemd szolgáltatások használatával
- Csatlakozás egy távoli parancs- és vezérlőkiszolgálóhoz utasítások fogadásához
Ezek a lépések biztosítják a folyamatos ellenőrzést, miközben minimalizálják az észlelés és elemzés esélyét.
Botnet képességek és működési hatás
A perzisztencia biztosítása után a Nexcorium lehetővé teszi a támadók számára, hogy különféle DDoS-támadásokat hajtsanak végre több protokoll használatával, beleértve:
UDP
TCP
SMTP
Ez a többvektoros képesség rugalmas és nagy hatású támadási forgatókönyveket tesz lehetővé, így a botnet jelentős fenyegetést jelent a célzott infrastruktúrára.
Állandó fenyegetettségi környezet és jövőbeli kockázatok
A Nexcorium az IoT-központú botnetek evolúcióját példázza, ötvözve az exploit újrafelhasználását, az architektúrák közötti kompatibilitást és a robusztus perzisztencia-mechanizmusokat. Az ismert sebezhetőségek integrálása az agresszív nyers erő taktikák mellé nagyfokú alkalmazkodóképességet mutat.
Az alapértelmezett hitelesítő adatokra és a nem frissített eszközökre való folyamatos támaszkodás biztosítja, hogy az IoT ökoszisztémák továbbra is kritikus gyenge pontok maradjanak. Az eszközbiztonsági gyakorlatok jelentős fejlesztése nélkül ezek a rendszerek továbbra is nagymértékű botnet-műveleteket fognak táplálni, és megzavarják a globális hálózati stabilitást.
