Ботнет Nexcorium
Расследования в области кибербезопасности показывают, что злоумышленники активно используют уязвимости в системах видеорегистраторов TBK и устаревших Wi-Fi-роутерах TP-Link для развертывания вариантов ботнета Mirai. Эти устройства, часто игнорируемые в стратегиях безопасности, представляют собой привлекательные точки входа из-за устаревшего программного обеспечения, слабых конфигураций и редкого обновления. Их широкое распространение еще больше повышает их ценность в качестве целей для крупномасштабных кибератак.
Оглавление
Использование известных уязвимостей для получения первоначального доступа.
В рамках кампании, направленной на устройства TBK DVR, используется уязвимость CVE-2024-3721, представляющая собой уязвимость средней степени опасности, связанную с внедрением команд (оценка CVSS: 6.3), затрагивающую модели DVR-4104 и DVR-4216. Используя эту уязвимость, злоумышленники распространяют вредоносную программу на основе Mirai, известную как Nexcorium. Эта уязвимость не осталась незамеченной в предыдущих кампаниях; ранее она использовалась для развертывания как вариантов Mirai, так и нового ботнета RondoDox.
Кроме того, более ранние исследования выявили экосистему «загрузчик как услуга», ответственную за распространение множества семейств вредоносных программ, включая RondoDox, Mirai и Morte, путем использования слабых учетных данных и устаревших уязвимостей в маршрутизаторах, устройствах IoT и корпоративных приложениях.
Цепочка заражения и развертывание полезной нагрузки
Последовательность атаки начинается с использования уязвимости DVR для развертывания скрипта-загрузчика. Этот скрипт определяет архитектуру Linux целевой системы и выполняет соответствующую полезную нагрузку ботнета. После активации вредоносное ПО сигнализирует о компрометации, отображая сообщение о том, что управление установлено.
Nexcorium повторяет структурную схему традиционных вариантов Mirai, включая закодированные данные конфигурации, механизмы мониторинга системы и специализированные модули для запуска распределенных атак типа «отказ в обслуживании».
Техника боковых движений и выносливости
Вредоносная программа расширяет свое влияние в сетях, используя дополнительные уязвимости, включая CVE-2017-17215, нацеленную на устройства Huawei HG532. Она также применяет методы перебора паролей с использованием встроенных списков учетных данных для компрометации других систем через доступ по протоколу Telnet.
Получив доступ, вредоносная программа выполняет ряд действий:
- Устанавливает сеанс командной оболочки на скомпрометированном хосте.
- Настраивает сохранение состояния с помощью crontab и служб systemd.
- Подключается к удалённому серверу управления и контроля для получения инструкций.
- Удаляет исходный исполняемый файл, чтобы уменьшить возможности для проведения криминалистического анализа.
Эти меры обеспечивают постоянный контроль, сводя к минимуму вероятность обнаружения и анализа.
Возможности ботнета и его влияние на операционную деятельность
После обеспечения постоянного присутствия в системе Nexcorium злоумышленники могут осуществлять различные DDoS-атаки, используя множество протоколов, включая:
УДП
TCP
SMTP
Эта многовекторная возможность позволяет разрабатывать гибкие и эффективные сценарии атак, что делает ботнет серьезной угрозой для целевой инфраструктуры.
Обзор устойчивых угроз и будущих рисков
Nexcorium является примером эволюции ботнетов, ориентированных на Интернет вещей, сочетая в себе повторное использование эксплойтов, совместимость между различными архитектурами и надежные механизмы обеспечения устойчивости. Интеграция известных уязвимостей наряду с агрессивной тактикой перебора паролей демонстрирует высокую степень адаптивности.
Сохранение зависимости от учетных данных по умолчанию и незащищенных устройств гарантирует, что экосистемы Интернета вещей останутся критически уязвимым местом. Без существенного улучшения методов обеспечения безопасности устройств эти системы будут продолжать подпитывать крупномасштабные операции ботнетов и нарушать стабильность глобальных сетей.
