Nexcorium-botnet
Onderzoek naar cyberbeveiliging wijst uit dat cybercriminelen actief gebruikmaken van beveiligingslekken in TBK DVR-systemen en verouderde TP-Link Wi-Fi-routers om varianten van het Mirai-botnet te verspreiden. Deze apparaten, die vaak over het hoofd worden gezien in beveiligingsstrategieën, vormen aantrekkelijke toegangspunten vanwege verouderde firmware, zwakke configuraties en het infrequent updaten van beveiligingsupdates. Hun wijdverspreide aanwezigheid vergroot hun waarde als doelwit voor grootschalige cyberaanvallen nog verder.
Inhoudsopgave
Het misbruiken van bekende kwetsbaarheden voor initiële toegang.
De campagne gericht op TBK DVR-apparaten maakt gebruik van CVE-2024-3721, een command-injectiekwetsbaarheid van gemiddelde ernst (CVSS-score: 6,3) die de modellen DVR-4104 en DVR-4216 treft. Door deze kwetsbaarheid te misbruiken, verspreiden aanvallers een op Mirai gebaseerde payload genaamd Nexcorium. Deze kwetsbaarheid is niet onopgemerkt gebleven bij eerdere campagnes; ze is eerder gebruikt om zowel Mirai-varianten als het opkomende RondoDox-botnet te verspreiden.
Daarnaast heeft eerder onderzoek een loader-as-a-service-ecosysteem aan het licht gebracht dat verantwoordelijk is voor de verspreiding van meerdere malwarefamilies, waaronder RondoDox, Mirai en Morte, door misbruik te maken van zwakke inloggegevens en verouderde kwetsbaarheden in routers, IoT-apparaten en bedrijfsapplicaties.
Infectieketen en inzet van de lading
De aanvalssequentie begint met het misbruiken van de DVR-kwetsbaarheid om een downloadscript te implementeren. Dit script identificeert de Linux-architectuur van het doelsysteem en voert de bijbehorende botnet-payload uit. Zodra de malware is geactiveerd, geeft deze een signaal dat de controle is verkregen door een bericht weer te geven.
Nexcorium is qua structuur vergelijkbaar met traditionele Mirai-varianten en bevat gecodeerde configuratiegegevens, systeemmonitoringsmechanismen en speciale modules voor het uitvoeren van gedistribueerde denial-of-service-aanvallen.
Technieken voor zijwaartse beweging en volharding
De malware breidt zijn bereik binnen netwerken uit door misbruik te maken van extra kwetsbaarheden, waaronder CVE-2017-17215, die gericht zijn op Huawei HG532-apparaten. Daarnaast maakt de malware gebruik van brute-force-technieken met ingebedde lijsten met inloggegevens om via Telnet-toegang andere systemen te compromitteren.
Zodra toegang is verkregen, voert de malware verschillende acties uit:
- Start een shellsessie op de gecompromitteerde host.
- Configureert persistentie met behulp van crontab en systemd-services.
- Maakt verbinding met een externe Command-and-Control-server voor instructies.
- Verwijdert het oorspronkelijke binaire bestand om de zichtbaarheid voor forensisch onderzoek te verminderen.
Deze stappen zorgen voor continue controle en minimaliseren tegelijkertijd de kans op detectie en analyse.
Mogelijkheden van botnets en hun impact op de bedrijfsvoering
Nadat de persistentie is gewaarborgd, stelt Nexcorium aanvallers in staat om een reeks DDoS-aanvallen uit te voeren met behulp van meerdere protocollen, waaronder:
UDP
TCP
SMTP
Deze multivector-functionaliteit maakt flexibele en zeer effectieve aanvalsscenario's mogelijk, waardoor het botnet een aanzienlijke bedreiging vormt voor de beoogde infrastructuur.
Aanhoudend dreigingslandschap en toekomstige risico’s
Nexcorium is een voorbeeld van de evolutie van op IoT gerichte botnets, die hergebruik van exploits, compatibiliteit met verschillende architecturen en robuuste persistentiemechanismen combineert. De integratie van bekende kwetsbaarheden met agressieve brute-force-tactieken getuigt van een hoge mate van aanpassingsvermogen.
Het aanhoudende gebruik van standaard inloggegevens en onbeveiligde apparaten zorgt ervoor dat IoT-ecosystemen een kritiek zwak punt blijven. Zonder aanzienlijke verbeteringen in de beveiliging van apparaten zullen deze systemen grootschalige botnetoperaties blijven voeden en de stabiliteit van wereldwijde netwerken verstoren.
