Nexcorium Botnett

Nettsikkerhetsundersøkelser avslører at trusselaktører aktivt utnytter sikkerhetssvakheter i TBK DVR-systemer og utgåtte TP-Link Wi-Fi-rutere for å distribuere varianter av Mirai-botnettet. Disse enhetene, som ofte overses i sikkerhetsstrategier, er attraktive inngangspunkter på grunn av utdatert fastvare, svake konfigurasjoner og sjelden oppdatering. Den utbredte distribusjonen forsterker ytterligere verdien deres som mål i storskala nettangrep.

Utnyttelse av kjente sårbarheter for førstegangs tilgang

Kampanjen som er rettet mot TBK DVR-enheter utnytter CVE-2024-3721, en sårbarhet med middels alvorlighetsgrad for kommandoinjeksjon (CVSS-score: 6,3) som påvirker modellene DVR-4104 og DVR-4216. Ved å utnytte denne feilen leverer angripere en Mirai-basert nyttelast kjent som Nexcorium. Denne sårbarheten har ikke gått ubemerket hen i tidligere kampanjer; den har tidligere blitt brukt til å distribuere både Mirai-varianter og det nye RondoDox-botnettet.

I tillegg fremhevet tidligere forskning et «loader-as-a-service»-økosystem som er ansvarlig for å distribuere flere skadevarefamilier, inkludert RondoDox, Mirai og Morte, ved å misbruke svake legitimasjonsoplysninger og eldre sårbarheter på tvers av rutere, IoT-enheter og bedriftsapplikasjoner.

Infeksjonskjede og nyttelastdistribusjon

Angrepssekvensen begynner med utnyttelse av DVR-sårbarheten for å distribuere et nedlastingsskript. Dette skriptet identifiserer målsystemets Linux-arkitektur og kjører riktig botnett-nyttelast. Når den er aktivert, signaliserer skadevaren kompromittering ved å vise en melding som indikerer at kontroll er opprettet.

Nexcorium speiler den strukturelle utformingen av tradisjonelle Mirai-varianter, og inkluderer kodede konfigurasjonsdata, systemovervåkingsmekanismer og dedikerte moduler for å iverksette distribuerte tjenestenektangrep.

Lateral bevegelse og utholdenhetsteknikker

Skadevaren utvider rekkevidden sin innenfor nettverk ved å utnytte ytterligere sårbarheter, inkludert CVE-2017-17215, som er rettet mot Huawei HG532-enheter. Den bruker også brute-force-teknikker ved å bruke innebygde legitimasjonslister for å kompromittere andre systemer via Telnet-tilgang.

Når tilgang er oppnådd, utfører skadevaren flere handlinger:

• Oppretter en skalløkt på den kompromitterte verten
• Konfigurerer persistens ved hjelp av crontab- og systemd-tjenester
• Kobler til en ekstern kommando-og-kontroll-server for instruksjoner
• Sletter den opprinnelige binærfilen for å redusere den rettsmedisinske synligheten

Disse trinnene sikrer fortsatt kontroll samtidig som de minimerer sjansene for deteksjon og analyse.

Botnettfunksjoner og operasjonell innvirkning

Etter å ha sikret persistens, lar Nexcorium angripere utføre en rekke DDoS-angrep ved hjelp av flere protokoller, inkludert:

UDP
TCP
SMTP

Denne multivektorfunksjonen muliggjør fleksible angrepsscenarioer med stor innvirkning, noe som gjør botnettet til en betydelig trussel mot målrettet infrastruktur.

Vedvarende trussellandskap og fremtidige risikoer

Nexcorium eksemplifiserer utviklingen av IoT-fokuserte botnett, og kombinerer gjenbruk av utnyttelsesdata, kompatibilitet på tvers av arkitekturer og robuste persistensmekanismer. Integreringen av kjente sårbarheter sammen med aggressive brute-force-taktikker viser en høy grad av tilpasningsevne.

Den fortsatte avhengigheten av standardlegitimasjon og uoppdaterte enheter sikrer at IoT-økosystemer vil forbli et kritisk svakt punkt. Uten betydelige forbedringer i enhetssikkerhetspraksis vil disse systemene fortsette å gi næring til storskala botnettoperasjoner og forstyrre den globale nettverksstabiliteten.