Nexcorium Botnet
Le indagini sulla sicurezza informatica rivelano che gli autori delle minacce stanno sfruttando attivamente le vulnerabilità di sicurezza dei sistemi DVR TBK e dei router Wi-Fi TP-Link a fine ciclo di vita per diffondere varianti della botnet Mirai. Questi dispositivi, spesso trascurati nelle strategie di sicurezza, rappresentano punti di ingresso attraenti a causa del firmware obsoleto, delle configurazioni deboli e degli aggiornamenti poco frequenti. La loro ampia diffusione ne amplifica ulteriormente il valore come bersagli per attacchi informatici su larga scala.
Sommario
Sfruttamento di vulnerabilità note per l'accesso iniziale
La campagna che prende di mira i dispositivi DVR TBK sfrutta la vulnerabilità CVE-2024-3721, una vulnerabilità di iniezione di comandi di media gravità (punteggio CVSS: 6.3) che interessa i modelli DVR-4104 e DVR-4216. Sfruttando questa falla, gli aggressori diffondono un payload basato su Mirai noto come Nexcorium. Questa vulnerabilità non è passata inosservata nelle campagne precedenti; è stata infatti utilizzata per diffondere sia varianti di Mirai che la botnet emergente RondoDox.
Inoltre, ricerche precedenti hanno evidenziato un ecosistema di "loader-as-a-service" responsabile della distribuzione di diverse famiglie di malware, tra cui RondoDox, Mirai e Morte, sfruttando credenziali deboli e vulnerabilità obsolete in router, dispositivi IoT e applicazioni aziendali.
Catena di infezione e dispiegamento del carico utile
La sequenza di attacco inizia con lo sfruttamento della vulnerabilità DVR per distribuire uno script di download. Questo script identifica l'architettura Linux del sistema target ed esegue il payload della botnet appropriato. Una volta attivato, il malware segnala la compromissione visualizzando un messaggio che indica che il controllo è stato stabilito.
Nexcorium rispecchia la struttura delle varianti tradizionali di Mirai, incorporando dati di configurazione codificati, meccanismi di monitoraggio del sistema e moduli dedicati per il lancio di attacchi denial-of-service distribuiti.
Tecniche di movimento laterale e persistenza
Il malware estende la sua portata all'interno delle reti sfruttando ulteriori vulnerabilità, tra cui la CVE-2017-17215, che prende di mira i dispositivi Huawei HG532. Inoltre, utilizza tecniche di forza bruta, avvalendosi di elenchi di credenziali incorporati, per compromettere altri sistemi tramite accesso Telnet.
Una volta ottenuto l'accesso, il malware esegue diverse azioni:
- Stabilisce una sessione shell sull'host compromesso
- Configura la persistenza dei dati tramite i servizi crontab e systemd.
- Si connette a un server di comando e controllo remoto per ricevere istruzioni.
Queste misure garantiscono un controllo continuo, riducendo al minimo le possibilità di rilevamento e analisi.
Capacità delle botnet e impatto operativo
Dopo aver garantito la persistenza, Nexcorium consente agli aggressori di eseguire una serie di attacchi DDoS utilizzando molteplici protocolli, tra cui:
UDP
TCP
SMTP
Questa capacità multi-vettore consente scenari di attacco flessibili e ad alto impatto, rendendo la botnet una minaccia significativa per le infrastrutture prese di mira.
Panorama delle minacce persistenti e rischi futuri
Nexcorium esemplifica l'evoluzione delle botnet focalizzate sull'IoT, combinando il riutilizzo degli exploit, la compatibilità tra architetture diverse e robusti meccanismi di persistenza. La sua integrazione di vulnerabilità note insieme a tattiche aggressive di forza bruta dimostra un elevato grado di adattabilità.
Il continuo affidamento su credenziali predefinite e dispositivi non aggiornati garantisce che gli ecosistemi IoT rimarranno un punto debole critico. Senza miglioramenti significativi nelle pratiche di sicurezza dei dispositivi, questi sistemi continueranno ad alimentare operazioni di botnet su larga scala e a compromettere la stabilità delle reti globali.
