Botnet Nexcorium
Dochodzenia w zakresie cyberbezpieczeństwa ujawniają, że cyberprzestępcy aktywnie wykorzystują luki w zabezpieczeniach systemów DVR TBK i wycofanych z eksploatacji routerów Wi-Fi TP-Link, aby wdrażać warianty botnetu Mirai. Urządzenia te, często pomijane w strategiach bezpieczeństwa, stanowią atrakcyjne punkty wejścia ze względu na przestarzałe oprogramowanie układowe, słabe konfiguracje i nieregularne aktualizacje. Ich powszechne wdrożenie dodatkowo zwiększa ich wartość jako celów cyberataków na dużą skalę.
Spis treści
Wykorzystywanie znanych luk w zabezpieczeniach w celu uzyskania dostępu początkowego
Kampania wymierzona w urządzenia TBK DVR wykorzystuje lukę CVE-2024-3721, lukę umożliwiającą wstrzykiwanie poleceń o średnim stopniu zagrożenia (wynik CVSS: 6,3), która dotyczy modeli DVR-4104 i DVR-4216. Wykorzystując tę lukę, atakujący dostarczają ładunek oparty na Mirai, znany jako Nexcorium. Luka ta nie pozostała niezauważona w poprzednich kampaniach; została wcześniej wykorzystana do wdrożenia obu wariantów Mirai oraz rozwijającego się botnetu RondoDox.
Ponadto wcześniejsze badania wskazały na ekosystem loader-as-a-service odpowiedzialny za dystrybucję wielu rodzin złośliwego oprogramowania, w tym RondoDox, Mirai i Morte, poprzez nadużywanie słabych danych uwierzytelniających i starszych luk w zabezpieczeniach na routerach, urządzeniach IoT i w aplikacjach korporacyjnych.
Łańcuch infekcji i wdrażanie ładunku
Sekwencja ataku rozpoczyna się od wykorzystania luki w zabezpieczeniach DVR w celu wdrożenia skryptu downloadera. Skrypt ten identyfikuje architekturę Linux systemu docelowego i uruchamia odpowiedni ładunek botnetu. Po aktywacji złośliwe oprogramowanie sygnalizuje zagrożenie, wyświetlając komunikat informujący o przejęciu kontroli.
Nexcorium opiera się na strukturze tradycyjnych wariantów Mirai, wykorzystując zakodowane dane konfiguracyjne, mechanizmy monitorowania systemu i dedykowane moduły do przeprowadzania rozproszonych ataków typu „odmowa usługi”.
Techniki ruchu bocznego i wytrwałości
Szkodliwe oprogramowanie rozszerza swój zasięg w sieciach, wykorzystując dodatkowe luki w zabezpieczeniach, w tym CVE-2017-17215, atakując urządzenia Huawei HG532. Wykorzystuje również techniki brute-force, wykorzystując osadzone listy uwierzytelniające, aby atakować inne systemy za pośrednictwem dostępu Telnet.
Po uzyskaniu dostępu złośliwe oprogramowanie wykonuje kilka czynności:
- Nawiązuje sesję powłoki na zagrożonym hoście
- Konfiguruje trwałość za pomocą usług crontab i systemd
- Łączy się ze zdalnym serwerem Command-and-Control w celu uzyskania instrukcji
- Usuwa oryginalny plik binarny w celu zmniejszenia widoczności dla celów dochodzeniowych
Kroki te zapewniają ciągłą kontrolę, minimalizując jednocześnie ryzyko wykrycia i analizy.
Możliwości botnetu i wpływ operacyjny
Po zabezpieczeniu trwałości Nexcorium umożliwia atakującym przeprowadzenie szeregu ataków DDoS przy użyciu wielu protokołów, w tym:
UDP
TCP
SMTP
Wielowektorowość umożliwia elastyczne i skuteczne scenariusze ataków, przez co botnet staje się poważnym zagrożeniem dla docelowej infrastruktury.
Krajobraz trwałych zagrożeń i przyszłe ryzyka
Nexcorium jest przykładem ewolucji botnetów skoncentrowanych na Internecie Rzeczy (IoT), łącząc ponowne wykorzystanie luk w zabezpieczeniach, kompatybilność międzyarchitekturową i solidne mechanizmy trwałości. Integracja znanych luk w zabezpieczeniach z agresywnymi taktykami siłowymi świadczy o wysokim stopniu adaptacyjności.
Ciągłe poleganie na domyślnych danych uwierzytelniających i niezałatanych urządzeniach sprawia, że ekosystemy IoT pozostaną krytycznym słabym punktem. Bez znaczących usprawnień w zakresie bezpieczeństwa urządzeń, systemy te będą nadal napędzać operacje botnetów na dużą skalę i zakłócać stabilność globalnej sieci.
