Nexcorium बोटनेट

साइबरसुरक्षा अनुसन्धानले देखाएको छ कि खतरा अभिनेताहरूले TBK DVR प्रणालीहरू र जीवनको अन्त्यमा TP-Link Wi-Fi राउटरहरूमा सुरक्षा कमजोरीहरूको सक्रिय रूपमा शोषण गरिरहेका छन् जसले Mirai botnet को भेरियन्टहरू तैनाथ गर्छन्। सुरक्षा रणनीतिहरूमा प्रायः बेवास्ता गरिएका यी उपकरणहरूले पुरानो फर्मवेयर, कमजोर कन्फिगरेसनहरू, र विरलै प्याचिङका कारण आकर्षक प्रवेश बिन्दुहरू प्रस्तुत गर्छन्। तिनीहरूको व्यापक तैनातीले ठूलो मात्रामा साइबर आक्रमणहरूमा लक्ष्यको रूपमा तिनीहरूको मूल्यलाई अझ बढाउँछ।

प्रारम्भिक पहुँचको लागि ज्ञात जोखिमहरूको शोषण गर्दै

TBK DVR उपकरणहरूलाई लक्षित गर्ने अभियानले CVE-2024-3721 लाई प्रयोग गर्दछ, जुन मध्यम-गम्भीरता कमाण्ड इन्जेक्सन जोखिम (CVSS स्कोर: 6.3) हो जसले DVR-4104 र DVR-4216 मोडेलहरूलाई असर गर्छ। यो त्रुटिको शोषण गरेर, आक्रमणकारीहरूले Nexcorium भनेर चिनिने Mirai-आधारित पेलोड डेलिभर गर्छन्। यो जोखिम पहिलेका अभियानहरूमा बेवास्ता गरिएको छैन; यो पहिले Mirai भेरियन्टहरू र उदीयमान RondoDox बोटनेट दुवै तैनाथ गर्न प्रयोग गरिएको छ।

यसको अतिरिक्त, पहिलेको अनुसन्धानले राउटरहरू, IoT उपकरणहरू, र इन्टरप्राइज अनुप्रयोगहरूमा कमजोर प्रमाणहरू र लिगेसी कमजोरीहरूको दुरुपयोग गरेर रोन्डोडक्स, मिराई र मोर्टे सहित धेरै मालवेयर परिवारहरू वितरण गर्न जिम्मेवार लोडर-एज-ए-सर्भिस इकोसिस्टमलाई हाइलाइट गर्‍यो।

संक्रमण श्रृंखला र पेलोड तैनाती

आक्रमणको क्रम डाउनलोडर स्क्रिप्ट तैनाथ गर्न DVR जोखिमको शोषणबाट सुरु हुन्छ। यो स्क्रिप्टले लक्षित प्रणालीको Linux वास्तुकला पहिचान गर्छ र उपयुक्त बोटनेट पेलोड कार्यान्वयन गर्छ। एक पटक सक्रिय भएपछि, मालवेयरले नियन्त्रण स्थापित भएको संकेत गर्ने सन्देश प्रदर्शन गरेर सम्झौताको संकेत गर्छ।

नेक्सकोरियमले परम्परागत मिराई भेरियन्टहरूको संरचनात्मक डिजाइनलाई प्रतिबिम्बित गर्दछ, जसमा एन्कोड गरिएको कन्फिगरेसन डेटा, प्रणाली अनुगमन संयन्त्रहरू, र वितरित सेवा अस्वीकार आक्रमणहरू सुरु गर्न समर्पित मोड्युलहरू समावेश छन्।

पार्श्व चाल र दृढता प्रविधिहरू

मालवेयरले Huawei HG532 उपकरणहरूलाई लक्षित गर्दै CVE-2017-17215 सहित थप कमजोरीहरूको शोषण गरेर नेटवर्कहरू भित्र आफ्नो पहुँच विस्तार गर्दछ। यसले टेलनेट पहुँच मार्फत अन्य प्रणालीहरूलाई सम्झौता गर्न एम्बेडेड क्रेडेन्सियल सूचीहरू प्रयोग गरेर ब्रूट-फोर्स प्रविधिहरू पनि प्रयोग गर्दछ।

एकपटक पहुँच प्राप्त भएपछि, मालवेयरले धेरै कार्यहरू गर्दछ:

• सम्झौता गरिएको होस्टमा शेल सत्र स्थापना गर्दछ
• crontab र systemd सेवाहरू प्रयोग गरेर पर्सिस्टन्स कन्फिगर गर्दछ
• निर्देशनहरूको लागि रिमोट कमाण्ड-एन्ड-कन्ट्रोल सर्भरमा जडान हुन्छ।
• फोरेन्सिक दृश्यता कम गर्न मूल बाइनरी मेटाउँछ

यी चरणहरूले पत्ता लगाउने र विश्लेषण गर्ने सम्भावनालाई कम गर्दै निरन्तर नियन्त्रण सुनिश्चित गर्छन्।

बोटनेट क्षमताहरू र सञ्चालन प्रभाव

दृढता सुरक्षित गरेपछि, नेक्सकोरियमले आक्रमणकारीहरूलाई धेरै प्रोटोकलहरू प्रयोग गरेर DDoS आक्रमणहरूको दायरा कार्यान्वयन गर्न सक्षम बनाउँछ, जसमा समावेश छन्:

UDPName
TCPName
SMTPName

यो बहु-भेक्टर क्षमताले लचिलो र उच्च-प्रभाव आक्रमण परिदृश्यहरूको लागि अनुमति दिन्छ, जसले गर्दा बोटनेट लक्षित पूर्वाधारको लागि एक महत्वपूर्ण खतरा हो।

निरन्तर खतरा परिदृश्य र भविष्यका जोखिमहरू

नेक्सकोरियमले IoT-केन्द्रित बोटनेटहरूको विकासको उदाहरण दिन्छ, जसले शोषण पुन: प्रयोग, क्रस-आर्किटेक्चर अनुकूलता, र बलियो दृढता संयन्त्रहरूको संयोजन गर्दछ। आक्रामक ब्रूट-फोर्स रणनीतिहरूसँगै ज्ञात कमजोरीहरूको यसको एकीकरणले उच्च स्तरको अनुकूलन क्षमता प्रदर्शन गर्दछ।

पूर्वनिर्धारित प्रमाणहरू र अनप्याच गरिएका उपकरणहरूमा निरन्तर निर्भरताले IoT इकोसिस्टमहरू एक महत्वपूर्ण कमजोर बिन्दु रहने कुरा सुनिश्चित गर्दछ। उपकरण सुरक्षा अभ्यासहरूमा उल्लेखनीय सुधार बिना, यी प्रणालीहरूले ठूलो मात्रामा बोटनेट सञ्चालनहरूलाई इन्धन दिन जारी राख्नेछन् र विश्वव्यापी नेटवर्क स्थिरतामा बाधा पुर्‍याउनेछन्।