Botnet Nexcorium
Vyšetrovania v oblasti kybernetickej bezpečnosti odhaľujú, že útočníci aktívne zneužívajú bezpečnostné slabiny v systémoch DVR TBK a v opotrebovaných Wi-Fi routeroch TP-Link na nasadenie variantov botnetu Mirai. Tieto zariadenia, ktoré sa v bezpečnostných stratégiách často prehliadajú, predstavujú atraktívne vstupné body kvôli zastaranému firmvéru, slabým konfiguráciám a zriedkavým aktualizáciám. Ich rozsiahle nasadenie ďalej zvyšuje ich hodnotu ako cieľov pri rozsiahlych kybernetických útokoch.
Obsah
Zneužívanie známych zraniteľností pre počiatočný prístup
Kampaň zameraná na zariadenia TBK DVR využíva CVE-2024-3721, zraniteľnosť strednej závažnosti typu „command injection“ (skóre CVSS: 6,3), ktorá postihuje modely DVR-4104 a DVR-4216. Zneužitím tejto chyby útočníci doručujú užitočné zaťaženie založené na platforme Mirai známe ako Nexcorium. Táto zraniteľnosť nezostala bez povšimnutia v predchádzajúcich kampaniach; predtým bola použitá na nasadenie variantov platformy Mirai aj vznikajúceho botnetu RondoDox.
Okrem toho skorší výskum poukázal na ekosystém zavádzača ako služby, ktorý je zodpovedný za distribúciu viacerých rodín malvéru vrátane RondoDox, Mirai a Morte zneužívaním slabých prihlasovacích údajov a starších zraniteľností v smerovačoch, zariadeniach internetu vecí a podnikových aplikáciách.
Reťazec infekcie a nasadenie užitočného zaťaženia
Útočná sekvencia začína zneužitím zraniteľnosti DVR na nasadenie skriptu na sťahovanie. Tento skript identifikuje architektúru Linuxu cieľového systému a spustí príslušný botnet. Po aktivácii malvér signalizuje kompromitáciu zobrazením správy oznamujúcej, že bola nad systémom nadviazaná kontrola.
Nexcorium odzrkadľuje štrukturálny dizajn tradičných variantov Mirai a zahŕňa kódované konfiguračné údaje, mechanizmy monitorovania systému a špecializované moduly na spúšťanie distribuovaných útokov typu „donieranie služby“.
Techniky bočného pohybu a vytrvalosti
Malvér rozširuje svoj dosah v sieťach zneužívaním ďalších zraniteľností vrátane CVE-2017-17215, ktorá je zameraná na zariadenia Huawei HG532. Taktiež využíva techniky hrubej sily s využitím vložených zoznamov poverení na napadnutie iných systémov prostredníctvom prístupu cez Telnet.
Po získaní prístupu malvér vykoná niekoľko akcií:
- Nadviaže shell reláciu na kompromitovanom hostiteľovi
- Konfiguruje perzistenciu pomocou služieb crontab a systemd
- Pripája sa k vzdialenému serveru Command-and-Control a prijíma pokyny.
- Odstráni pôvodný binárny súbor, aby sa znížila forenzná viditeľnosť
Tieto kroky zabezpečujú nepretržitú kontrolu a zároveň minimalizujú šance na odhalenie a analýzu.
Možnosti botnetu a jeho prevádzkový dopad
Po zabezpečení perzistencie umožňuje Nexcorium útočníkom vykonať celý rad DDoS útokov pomocou viacerých protokolov vrátane:
UDP
TCP
SMTP
Táto multivektorová schopnosť umožňuje flexibilné a vysokoúčinné útočné scenáre, vďaka čomu je botnet významnou hrozbou pre cieľovú infraštruktúru.
Pretrvávajúca hrozba a budúce riziká
Nexcorium je príkladom evolúcie botnetov zameraných na internet vecí, kombinuje opätovné použitie exploitov, kompatibilitu medzi architektúrami a robustné mechanizmy perzistencie. Jeho integrácia známych zraniteľností spolu s agresívnymi taktikami hrubej sily demonštruje vysoký stupeň prispôsobivosti.
Pokračujúce spoliehanie sa na predvolené prihlasovacie údaje a neopravené zariadenia zabezpečuje, že ekosystémy internetu vecí zostanú kritickým slabým bodom. Bez výrazného zlepšenia postupov v oblasti zabezpečenia zariadení budú tieto systémy naďalej podporovať rozsiahle operácie botnetov a narúšať stabilitu globálnej siete.
