Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet Nexcorium

Botnet Nexcorium

Por Mezo em Redes de Bots
Traduzir Para:

Investigações de cibersegurança revelam que agentes maliciosos estão explorando ativamente vulnerabilidades de segurança em sistemas DVR da TBK e roteadores Wi-Fi TP-Link descontinuados para implantar variantes da botnet Mirai. Esses dispositivos, frequentemente negligenciados em estratégias de segurança, representam pontos de entrada atraentes devido ao firmware desatualizado, configurações frágeis e aplicação infrequente de patches. Sua ampla disseminação aumenta ainda mais seu valor como alvos em ciberataques de grande escala.

Explorando vulnerabilidades conhecidas para acesso inicial.

A campanha que visa dispositivos DVR da TBK explora a vulnerabilidade CVE-2024-3721, uma falha de injeção de comando de gravidade média (pontuação CVSS: 6,3) que afeta os modelos DVR-4104 e DVR-4216. Ao explorar essa falha, os atacantes distribuem um payload baseado no Mirai, conhecido como Nexcorium. Essa vulnerabilidade não passou despercebida em campanhas anteriores; ela já foi usada para implantar variantes do Mirai e a botnet emergente RondoDox.

Além disso, pesquisas anteriores destacaram um ecossistema de carregadores como serviço responsável pela distribuição de várias famílias de malware, incluindo RondoDox, Mirai e Morte, explorando credenciais fracas e vulnerabilidades legadas em roteadores, dispositivos IoT e aplicativos corporativos.

Cadeia de Infecção e Implantação da Carga Útil

A sequência de ataque começa com a exploração da vulnerabilidade do DVR para implantar um script de download. Esse script identifica a arquitetura Linux do sistema alvo e executa o payload apropriado da botnet. Uma vez ativado, o malware sinaliza a invasão exibindo uma mensagem indicando que o controle foi estabelecido.

O Nexcorium espelha o design estrutural das variantes tradicionais do Mirai, incorporando dados de configuração codificados, mecanismos de monitoramento do sistema e módulos dedicados para lançar ataques distribuídos de negação de serviço.

Técnicas de Movimento Lateral e Persistência

O malware amplia seu alcance em redes explorando vulnerabilidades adicionais, incluindo a CVE-2017-17215, que tem como alvo dispositivos Huawei HG532. Ele também emprega técnicas de força bruta usando listas de credenciais embutidas para comprometer outros sistemas por meio de acesso Telnet.

Uma vez obtido o acesso, o malware executa diversas ações:

  • Estabelece uma sessão de shell no host comprometido.
  • Configura a persistência usando crontab e serviços systemd.
  • Conecta-se a um servidor remoto de Comando e Controle para receber instruções.
  • Exclui o binário original para reduzir a visibilidade forense.

Essas medidas garantem o controle contínuo, minimizando as chances de detecção e análise.

Capacidades das botnets e impacto operacional

Após garantir a persistência, o Nexcorium permite que os atacantes executem uma série de ataques DDoS usando vários protocolos, incluindo:

UDP
TCP
SMTP

Essa capacidade multivetorial permite cenários de ataque flexíveis e de alto impacto, tornando a botnet uma ameaça significativa à infraestrutura visada.

Panorama das Ameaças Persistentes e Riscos Futuros

A Nexcorium exemplifica a evolução das botnets focadas em IoT, combinando reutilização de exploits, compatibilidade entre arquiteturas e mecanismos robustos de persistência. Sua integração de vulnerabilidades conhecidas com táticas agressivas de força bruta demonstra um alto grau de adaptabilidade.

A dependência contínua de credenciais padrão e dispositivos sem atualizações de segurança garante que os ecossistemas de IoT permanecerão um ponto fraco crítico. Sem melhorias significativas nas práticas de segurança de dispositivos, esses sistemas continuarão a alimentar operações de botnets em larga escala e a perturbar a estabilidade da rede global.

Tendendo

Mais visto

Carregando...