Botnet Nexcorium
Siasatan keselamatan siber mendedahkan bahawa pelaku ancaman secara aktif mengeksploitasi kelemahan keselamatan dalam sistem DVR TBK dan penghala Wi-Fi TP-Link yang telah tamat tempoh hayat untuk menggunakan varian botnet Mirai. Peranti ini, yang sering diabaikan dalam strategi keselamatan, memberikan titik masuk yang menarik disebabkan oleh firmware yang ketinggalan zaman, konfigurasi yang lemah dan penampalan yang jarang berlaku. Penggunaannya yang meluas menguatkan lagi nilainya sebagai sasaran dalam serangan siber berskala besar.
Isi kandungan
Mengeksploitasi Kerentanan yang Diketahui untuk Akses Awal
Kempen yang menyasarkan peranti DVR TBK memanfaatkan CVE-2024-3721, iaitu kerentanan suntikan arahan tahap sederhana (skor CVSS: 6.3) yang menjejaskan model DVR-4104 dan DVR-4216. Dengan mengeksploitasi kelemahan ini, penyerang menghantar muatan berasaskan Mirai yang dikenali sebagai Nexcorium. Kerentanan ini tidak terlepas daripada perhatian dalam kempen terdahulu; ia sebelum ini telah digunakan untuk menggunakan kedua-dua varian Mirai dan botnet RondoDox yang baru muncul.
Di samping itu, kajian terdahulu mengetengahkan ekosistem pemuat-sebagai-perkhidmatan yang bertanggungjawab untuk mengedarkan pelbagai keluarga perisian hasad, termasuk RondoDox, Mirai dan Morte, dengan menyalahgunakan kelayakan yang lemah dan kerentanan legasi merentasi penghala, peranti IoT dan aplikasi perusahaan.
Rantaian Jangkitan dan Pelaksanaan Muatan
Urutan serangan bermula dengan eksploitasi kerentanan DVR untuk menggunakan skrip pemuat turun. Skrip ini mengenal pasti seni bina Linux sistem sasaran dan melaksanakan muatan botnet yang sesuai. Setelah diaktifkan, perisian hasad memberi isyarat pencerobohan dengan memaparkan mesej yang menunjukkan bahawa kawalan telah diwujudkan.
Nexcorium mencerminkan reka bentuk struktur varian Mirai tradisional, menggabungkan data konfigurasi yang dikodkan, mekanisme pemantauan sistem dan modul khusus untuk melancarkan serangan penafian perkhidmatan teragih.
Pergerakan Lateral dan Teknik Kegigihan
Perisian hasad ini meluaskan jangkauannya dalam rangkaian dengan mengeksploitasi kelemahan tambahan, termasuk CVE-2017-17215, yang menyasarkan peranti Huawei HG532. Ia juga menggunakan teknik kekerasan menggunakan senarai kelayakan terbenam untuk menjejaskan sistem lain melalui akses Telnet.
Sebaik sahaja akses dicapai, malware tersebut akan melakukan beberapa tindakan:
- Menetapkan sesi shell pada hos yang dikompromi
- Mengkonfigurasi kegigihan menggunakan perkhidmatan crontab dan systemd
- Menyambung ke pelayan Perintah dan Kawalan jauh untuk arahan
- Memadam binari asal untuk mengurangkan keterlihatan forensik
Langkah-langkah ini memastikan kawalan berterusan sambil meminimumkan peluang pengesanan dan analisis.
Keupayaan Botnet dan Impak Operasi
Selepas menjamin kegigihan, Nexcorium membolehkan penyerang melaksanakan pelbagai serangan DDoS menggunakan pelbagai protokol, termasuk:
UDP
TCP
SMTP
Keupayaan berbilang vektor ini membolehkan senario serangan yang fleksibel dan berimpak tinggi, menjadikan botnet sebagai ancaman ketara kepada infrastruktur yang disasarkan.
Lanskap Ancaman Berterusan dan Risiko Masa Depan
Nexcorium mencontohkan evolusi botnet yang berfokus pada IoT, menggabungkan penggunaan semula eksploitasi, keserasian silang seni bina dan mekanisme ketekunan yang mantap. Penyepaduannya terhadap kerentanan yang diketahui bersama taktik kekerasan yang agresif menunjukkan tahap kebolehsuaian yang tinggi.
Pergantungan berterusan pada kelayakan lalai dan peranti yang tidak ditampal memastikan ekosistem IoT akan kekal sebagai titik lemah yang kritikal. Tanpa penambahbaikan yang ketara dalam amalan keselamatan peranti, sistem ini akan terus memacu operasi botnet berskala besar dan mengganggu kestabilan rangkaian global.
