Botnet-ul Nexcorium
Investigațiile de securitate cibernetică dezvăluie că actorii care atacă în mod amenințător exploatează în mod activ punctele slabe de securitate ale sistemelor DVR TBK și ale routerelor Wi-Fi TP-Link aflate la sfârșitul duratei de viață pentru a implementa variante ale botnet-ului Mirai. Aceste dispozitive, adesea trecute cu vederea în strategiile de securitate, reprezintă puncte de intrare atractive din cauza firmware-ului învechit, a configurațiilor slabe și a aplicării rare de patch-uri. Implementarea lor pe scară largă amplifică și mai mult valoarea lor ca ținte în atacurile cibernetice la scară largă.
Cuprins
Exploatarea vulnerabilităților cunoscute pentru accesul inițial
Campania care vizează dispozitivele DVR TBK utilizează CVE-2024-3721, o vulnerabilitate de tip command injection de severitate medie (scor CVSS: 6,3) care afectează modelele DVR-4104 și DVR-4216. Prin exploatarea acestei deficiențe, atacatorii livrează o sarcină utilă bazată pe Mirai, cunoscută sub numele de Nexcorium. Această vulnerabilitate nu a trecut neobservată în campaniile anterioare; a fost utilizată anterior pentru a implementa atât variantele Mirai, cât și botnet-ul emergent RondoDox.
În plus, cercetările anterioare au evidențiat un ecosistem de tip „loader-as-a-service” responsabil pentru distribuirea mai multor familii de programe malware, inclusiv RondoDox, Mirai și Morte, prin abuzul de acreditări slabe și vulnerabilități moștenite pe routere, dispozitive IoT și aplicații enterprise.
Lanțul de infecții și implementarea sarcinii utile
Secvența de atac începe cu exploatarea vulnerabilității DVR pentru a implementa un script de descărcare. Acest script identifică arhitectura Linux a sistemului țintă și execută sarcina utilă corespunzătoare a botnet-ului. Odată activat, malware-ul semnalează compromiterea prin afișarea unui mesaj care indică faptul că a fost stabilit controlul.
Nexcorium oglindește designul structural al variantelor tradiționale Mirai, încorporând date de configurare codificate, mecanisme de monitorizare a sistemului și module dedicate pentru lansarea atacurilor distribuite de tip denial-of-service.
Tehnici de mișcare laterală și persistență
Malware-ul își extinde aria de acoperire în rețele prin exploatarea vulnerabilităților suplimentare, inclusiv CVE-2017-17215, care vizează dispozitivele Huawei HG532. De asemenea, folosește tehnici de forță brută folosind liste de acreditări încorporate pentru a compromite alte sisteme prin acces Telnet.
Odată ce accesul este obținut, malware-ul efectuează mai multe acțiuni:
- Stabilește o sesiune shell pe gazda compromisă
- Configurează persistența folosind serviciile crontab și systemd
- Se conectează la un server de comandă și control la distanță pentru instrucțiuni
- Șterge fișierul binar original pentru a reduce vizibilitatea criminalistică
Acești pași asigură un control continuu, reducând în același timp șansele de detectare și analiză.
Capacitățile și impactul operațional al botnet-urilor
După securizarea persistenței, Nexcorium permite atacatorilor să execute o serie de atacuri DDoS folosind mai multe protocoale, inclusiv:
UDP
TCP
SMTP
Această capacitate multi-vectorială permite scenarii de atac flexibile și cu impact ridicat, ceea ce face ca botnet-ul să fie o amenințare semnificativă la adresa infrastructurii vizate.
Peisajul amenințărilor persistente și riscurile viitoare
Nexcorium exemplifică evoluția botneturilor axate pe IoT, combinând reutilizarea exploit-urilor, compatibilitatea între arhitecturi și mecanisme robuste de persistență. Integrarea vulnerabilităților cunoscute alături de tactici agresive de tip „brute force” demonstrează un grad ridicat de adaptabilitate.
Dependența continuă de acreditările implicite și de dispozitivele neactualizate garantează că ecosistemele IoT vor rămâne un punct slab critic. Fără îmbunătățiri semnificative ale practicilor de securitate a dispozitivelor, aceste sisteme vor continua să alimenteze operațiunile botnet la scară largă și să perturbe stabilitatea rețelei globale.
