Nexcorium ਬੋਟਨੈੱਟ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਜਾਂਚਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨ TBK DVR ਸਿਸਟਮਾਂ ਅਤੇ ਅੰਤਮ-ਜੀਵਨ ਵਾਲੇ TP-ਲਿੰਕ Wi-Fi ਰਾਊਟਰਾਂ ਵਿੱਚ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ ਤਾਂ ਜੋ Mirai botnet ਦੇ ਰੂਪਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਹ ਡਿਵਾਈਸਾਂ, ਜੋ ਅਕਸਰ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਨਜ਼ਰਅੰਦਾਜ਼ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਪੁਰਾਣੇ ਫਰਮਵੇਅਰ, ਕਮਜ਼ੋਰ ਸੰਰਚਨਾਵਾਂ ਅਤੇ ਕਦੇ-ਕਦਾਈਂ ਪੈਚਿੰਗ ਦੇ ਕਾਰਨ ਆਕਰਸ਼ਕ ਐਂਟਰੀ ਪੁਆਇੰਟ ਪੇਸ਼ ਕਰਦੀਆਂ ਹਨ। ਉਹਨਾਂ ਦੀ ਵਿਆਪਕ ਤੈਨਾਤੀ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਨਿਸ਼ਾਨੇ ਵਜੋਂ ਉਹਨਾਂ ਦੇ ਮੁੱਲ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦੀ ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਲਈ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

TBK DVR ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਮੁਹਿੰਮ CVE-2024-3721 ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ, ਇੱਕ ਮੱਧਮ-ਤੀਬਰਤਾ ਵਾਲਾ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀ (CVSS ਸਕੋਰ: 6.3) ਜੋ DVR-4104 ਅਤੇ DVR-4216 ਮਾਡਲਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ। ਇਸ ਨੁਕਸ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ, ਹਮਲਾਵਰ Nexcorium ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ Mirai-ਅਧਾਰਿਤ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਹ ਕਮਜ਼ੋਰੀ ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਅਣਦੇਖੀ ਨਹੀਂ ਗਈ ਹੈ; ਇਸਦੀ ਵਰਤੋਂ ਪਹਿਲਾਂ Mirai ਰੂਪਾਂ ਅਤੇ ਉੱਭਰ ਰਹੇ RondoDox ਬੋਟਨੈੱਟ ਦੋਵਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪਹਿਲਾਂ ਦੀ ਖੋਜ ਨੇ ਇੱਕ ਲੋਡਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ ਈਕੋਸਿਸਟਮ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਜੋ ਰਾਊਟਰਾਂ, IoT ਡਿਵਾਈਸਾਂ, ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਵਿਰਾਸਤੀ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ, ਰੋਂਡੋਡੌਕਸ, ਮੀਰਾਈ ਅਤੇ ਮੋਰਟ ਸਮੇਤ ਕਈ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਪੇਲੋਡ ਡਿਪਲਾਇਮੈਂਟ

ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਇੱਕ ਡਾਊਨਲੋਡਰ ਸਕ੍ਰਿਪਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ DVR ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਟਾਰਗੇਟ ਸਿਸਟਮ ਦੇ Linux ਆਰਕੀਟੈਕਚਰ ਦੀ ਪਛਾਣ ਕਰਦੀ ਹੈ ਅਤੇ ਢੁਕਵੇਂ ਬੋਟਨੈੱਟ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਇੱਕ ਸੁਨੇਹਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਕੇ ਸਮਝੌਤਾ ਕਰਨ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਨਿਯੰਤਰਣ ਸਥਾਪਤ ਹੋ ਗਿਆ ਹੈ।

ਨੇਕਸਕੋਰੀਅਮ ਰਵਾਇਤੀ ਮੀਰਾਈ ਰੂਪਾਂ ਦੇ ਢਾਂਚਾਗਤ ਡਿਜ਼ਾਈਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਏਨਕੋਡ ਕੀਤੇ ਸੰਰਚਨਾ ਡੇਟਾ, ਸਿਸਟਮ ਨਿਗਰਾਨੀ ਵਿਧੀਆਂ, ਅਤੇ ਵੰਡੇ ਗਏ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਵਾਲੇ ਹਮਲਿਆਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਸਮਰਪਿਤ ਮੋਡੀਊਲ ਸ਼ਾਮਲ ਹਨ।

ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਅਤੇ ਪਰਸਿਸਟੈਂਸ ਤਕਨੀਕਾਂ

ਇਹ ਮਾਲਵੇਅਰ Huawei HG532 ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, CVE-2017-17215 ਸਮੇਤ ਵਾਧੂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਆਪਣੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਇਹ ਟੈਲਨੈੱਟ ਐਕਸੈਸ ਰਾਹੀਂ ਹੋਰ ਸਿਸਟਮਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਏਮਬੈਡਡ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸੂਚੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਬਰੂਟ-ਫੋਰਸ ਤਕਨੀਕਾਂ ਦੀ ਵੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋ ਜਾਣ 'ਤੇ, ਮਾਲਵੇਅਰ ਕਈ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ:

• ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਇੱਕ ਸ਼ੈੱਲ ਸੈਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ
• crontab ਅਤੇ systemd ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਥਿਰਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦਾ ਹੈ
• ਹਦਾਇਤਾਂ ਲਈ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ।
• ਫੋਰੈਂਸਿਕ ਦ੍ਰਿਸ਼ਟੀ ਨੂੰ ਘਟਾਉਣ ਲਈ ਮੂਲ ਬਾਈਨਰੀ ਨੂੰ ਮਿਟਾਉਂਦਾ ਹੈ।

ਇਹ ਕਦਮ ਖੋਜ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹੋਏ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ।

ਬੋਟਨੈੱਟ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਸੰਚਾਲਨ ਪ੍ਰਭਾਵ

ਸਥਿਰਤਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, Nexcorium ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਈ ਪ੍ਰੋਟੋਕੋਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ DDoS ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਸ਼੍ਰੇਣੀ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਯੂਡੀਪੀ
ਟੀ.ਸੀ.ਪੀ.
SMTPLanguage

ਇਹ ਮਲਟੀ-ਵੈਕਟਰ ਸਮਰੱਥਾ ਲਚਕਦਾਰ ਅਤੇ ਉੱਚ-ਪ੍ਰਭਾਵ ਵਾਲੇ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼ਾਂ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਬੋਟਨੈੱਟ ਨਿਸ਼ਾਨਾਬੱਧ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣ ਜਾਂਦਾ ਹੈ।

ਸਥਾਈ ਖ਼ਤਰੇ ਦਾ ਦ੍ਰਿਸ਼ ਅਤੇ ਭਵਿੱਖ ਦੇ ਜੋਖਮ

Nexcorium IoT-ਕੇਂਦ੍ਰਿਤ ਬੋਟਨੈੱਟਸ ਦੇ ਵਿਕਾਸ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ, ਜੋ ਕਿ ਐਕਸਪਲਾਈਟ ਰੀਯੂਜ਼, ਕਰਾਸ-ਆਰਕੀਟੈਕਚਰ ਅਨੁਕੂਲਤਾ, ਅਤੇ ਮਜ਼ਬੂਤ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਹਮਲਾਵਰ ਬਰੂਟ-ਫੋਰਸ ਰਣਨੀਤੀਆਂ ਦੇ ਨਾਲ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਇਸਦਾ ਏਕੀਕਰਨ ਉੱਚ ਪੱਧਰੀ ਅਨੁਕੂਲਤਾ ਦਰਸਾਉਂਦਾ ਹੈ।

ਡਿਫਾਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਅਣਪੈਚ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਨਿਰੰਤਰ ਨਿਰਭਰਤਾ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ IoT ਈਕੋਸਿਸਟਮ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰ ਬਿੰਦੂ ਬਣੇ ਰਹਿਣਗੇ। ਡਿਵਾਈਸ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰਾਂ ਤੋਂ ਬਿਨਾਂ, ਇਹ ਸਿਸਟਮ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬੋਟਨੈੱਟ ਕਾਰਜਾਂ ਨੂੰ ਵਧਾਉਂਦੇ ਰਹਿਣਗੇ ਅਤੇ ਗਲੋਬਲ ਨੈੱਟਵਰਕ ਸਥਿਰਤਾ ਨੂੰ ਵਿਗਾੜਨਗੇ।