„Nexcorium“ botnetas
Kibernetinio saugumo tyrimai atskleidžia, kad grėsmių skleidėjai aktyviai išnaudoja TBK DVR sistemų ir nebenaudojamų TP-Link Wi-Fi maršrutizatorių saugumo spragas, kad dislokuotų „Mirai“ botneto variantus. Šie įrenginiai, dažnai pamirštami saugumo strategijose, yra patrauklūs patekimo taškai dėl pasenusios programinės įrangos, silpnų konfigūracijų ir reto pataisymų diegimo. Dėl plataus jų diegimo dar labiau padidėja jų vertė kaip taikinių didelio masto kibernetinėse atakose.
Turinys
Išnaudojant žinomas pažeidžiamas vietas pradinei prieigai gauti
Kampanija, nukreipta prieš TBK DVR įrenginius, naudoja CVE-2024-3721 – vidutinio pavojingumo komandų įterpimo pažeidžiamumą (CVSS balas: 6,3), paveikiantį DVR-4104 ir DVR-4216 modelius. Pasinaudodami šiuo trūkumu, užpuolikai pateikia „Mirai“ pagrindu sukurtą naudingąją apkrovą, vadinamą „Nexcorium“. Šis pažeidžiamumas neliko nepastebėtas ir ankstesnėse kampanijose; anksčiau jis buvo panaudotas diegiant abu „Mirai“ variantus ir kylantį „RondoDox“ botnetą.
Be to, ankstesni tyrimai išryškino „įkroviklio kaip paslaugos“ ekosistemą, atsakingą už kelių kenkėjiškų programų šeimų, įskaitant „RondoDox“, „Mirai“ ir „Morte“, platinimą, piktnaudžiaujant silpnais prisijungimo duomenimis ir senomis pažeidžiamybėmis maršrutizatoriuose, daiktų interneto įrenginiuose ir įmonių programose.
Infekcijos grandinės ir naudingosios apkrovos diegimas
Atakų seka prasideda išnaudojant DVR pažeidžiamumą, siekiant įdiegti atsisiuntimo skriptą. Šis skriptas identifikuoja tikslinės sistemos „Linux“ architektūrą ir vykdo atitinkamą botneto naudingąją apkrovą. Aktyvuota kenkėjiška programa signalizuoja apie įsilaužimą rodydama pranešimą, rodantį, kad kontrolė atkurta.
„Nexcorium“ atspindi tradicinių „Mirai“ variantų struktūrinį dizainą, įtraukdamas užkoduotus konfigūracijos duomenis, sistemos stebėjimo mechanizmus ir specialius modulius paskirstytoms paslaugų teikimo trikdymo atakoms paleisti.
Šoninis judėjimas ir atkaklumo technikos
Kenkėjiška programa plečia savo aprėptį tinkluose, išnaudodama papildomus pažeidžiamumus, įskaitant CVE-2017-17215, nukreiptą į „Huawei HG532“ įrenginius. Ji taip pat naudoja „brute-force“ metodus, naudodama įterptus kredencialų sąrašus, kad per „Telnet“ prieigą užkrėstų kitas sistemas.
Gavusi prieigą, kenkėjiška programa atlieka kelis veiksmus:
- Užmezga apvalkalo sesiją pažeistame pagrindiniame kompiuteryje
- Konfigūruoja išlikimą naudodamas „crontab“ ir „systemd“ paslaugas
- Prisijungia prie nuotolinio komandų ir valdymo serverio, kad gautų instrukcijas
Šie veiksmai užtikrina nuolatinę kontrolę, tuo pačiu sumažinant aptikimo ir analizės tikimybę.
Botnetų pajėgumai ir operacinis poveikis
Užtikrinus duomenų tęstinumą, „Nexcorium“ leidžia užpuolikams vykdyti įvairias DDoS atakas, naudojant kelis protokolus, įskaitant:
UDP
TCP
SMTP
Ši daugiavektorė galimybė leidžia lanksčiai ir didelio poveikio atakų scenarijus, todėl botnetas kelia didelę grėsmę tikslinei infrastruktūrai.
Nuolatinių grėsmių kraštovaizdis ir būsimos rizikos
„Nexcorium“ yra į daiktų internetą orientuotų botnetų evoliucijos pavyzdys, derinantis pakartotinį pažeidžiamumų panaudojimą, skirtingų architektūrų suderinamumą ir patikimus išsaugojimo mechanizmus. Žinomų pažeidžiamumų integravimas kartu su agresyvia „brute-force“ taktika rodo didelį prisitaikymo laipsnį.
Nuolatinis pasikliovimas numatytaisiais prisijungimo duomenimis ir netaisytais įrenginiais užtikrina, kad daiktų interneto ekosistemos išliks kritiniu silpnuoju tašku. Be reikšmingų įrenginių saugumo praktikos patobulinimų šios sistemos ir toliau skatins didelio masto botnetų veiklą ir sutrikdys pasaulinio tinklo stabilumą.
