Nexcorium botnets

Kiberdrošības izmeklēšanas atklāj, ka apdraudējumu dalībnieki aktīvi izmanto drošības ievainojamības TBK DVR sistēmās un nolietotos TP-Link Wi-Fi maršrutētājos, lai izvietotu Mirai botneta variantus. Šīs ierīces, kas drošības stratēģijās bieži tiek ignorētas, ir pievilcīgi iekļūšanas punkti novecojušas programmaparatūras, vāju konfigurāciju un retas ielāpu atjaunināšanas dēļ. To plašā izvietošana vēl vairāk palielina to vērtību kā mērķiem liela mēroga kiberuzbrukumos.

Zināmu ievainojamību izmantošana sākotnējai piekļuvei

Kampaņa, kas vērsta pret TBK DVR ierīcēm, izmanto CVE-2024-3721, vidējas nopietnības komandu injekcijas ievainojamību (CVSS vērtējums: 6,3), kas ietekmē DVR-4104 un DVR-4216 modeļus. Izmantojot šo trūkumu, uzbrucēji piegādā uz Mirai balstītu lietderīgo slodzi, kas pazīstama kā Nexcorium. Šī ievainojamība nav palikusi nepamanīta iepriekšējās kampaņās; tā iepriekš ir izmantota, lai izvietotu gan Mirai variantus, gan jauno RondoDox botnetu.

Turklāt iepriekšējie pētījumi izcēla ielādētāja kā pakalpojuma ekosistēmu, kas ir atbildīga par vairāku ļaunprogrammatūru saimju, tostarp RondoDox, Mirai un Morte, izplatīšanu, ļaunprātīgi izmantojot vājus akreditācijas datus un mantotas ievainojamības maršrutētājos, lietu interneta ierīcēs un uzņēmumu lietojumprogrammās.

Infekcijas ķēde un lietderīgās slodzes izvietošana

Uzbrukuma secība sākas ar DVR ievainojamības izmantošanu, lai izvietotu lejupielādes skriptu. Šis skripts identificē mērķa sistēmas Linux arhitektūru un izpilda atbilstošo botneta lietderīgo slodzi. Pēc aktivizēšanas ļaunprogrammatūra signalizē par kompromitēšanu, parādot ziņojumu, kas norāda, ka kontrole ir izveidota.

Nexcorium atspoguļo tradicionālo Mirai variantu strukturālo dizainu, iekļaujot kodētus konfigurācijas datus, sistēmas uzraudzības mehānismus un īpašus moduļus izkliedētu pakalpojumatteices uzbrukumu uzsākšanai.

Sānu kustības un noturības metodes

Ļaunprogrammatūra paplašina savu sasniedzamību tīklos, izmantojot papildu ievainojamības, tostarp CVE-2017-17215, kas ir vērsta pret Huawei HG532 ierīcēm. Tā izmanto arī brutālas spēka metodes, izmantojot iegultos akreditācijas sarakstus, lai ar Telnet piekļuves palīdzību apdraudētu citas sistēmas.

Kad piekļuve ir iegūta, ļaunprogrammatūra veic vairākas darbības:

• Izveido čaulas sesiju apdraudētajā resursdatorā
• Konfigurē noturību, izmantojot crontab un systemd pakalpojumus
• Izveido savienojumu ar attālo komandu un vadības serveri, lai saņemtu norādījumus
• Izdzēš sākotnējo bināro failu, lai samazinātu forenzikas redzamību

Šie pasākumi nodrošina nepārtrauktu kontroli, vienlaikus samazinot atklāšanas un analīzes iespējas.

Bottīklu iespējas un operacionālā ietekme

Pēc noturības nodrošināšanas Nexcorium ļauj uzbrucējiem veikt virkni DDoS uzbrukumu, izmantojot vairākus protokolus, tostarp:

UDP
TCP
SMTP

Šī daudzvektoru spēja ļauj īstenot elastīgus un augstas ietekmes uzbrukumu scenārijus, padarot botnetu par būtisku draudu mērķētai infrastruktūrai.

Pastāvīgo draudu ainava un nākotnes riski

Nexcorium ir uz lietu internetu (IoT) vērstu botnetu evolūcijas piemērs, apvienojot atkārtotu izmantošanu, starparhitektūru saderību un spēcīgus saglabāšanas mehānismus. Tā zināmo ievainojamību integrācija ar agresīvu brutālas spēka taktiku demonstrē augstu pielāgošanās spēju.

Pastāvīgā paļaušanās uz noklusējuma akreditācijas datiem un nelabotām ierīcēm nodrošina, ka lietu interneta (IoT) ekosistēmas joprojām būs kritisks vājais punkts. Bez būtiskiem uzlabojumiem ierīču drošības praksē šīs sistēmas turpinās veicināt liela mēroga botnetu darbības un traucēt globālā tīkla stabilitāti.