Nexcorium Botnet
Preiskave kibernetske varnosti razkrivajo, da akterji grožnje aktivno izkoriščajo varnostne pomanjkljivosti v sistemih DVR TBK in izrabljenih usmerjevalnikih Wi-Fi TP-Link za uporabo različic botneta Mirai. Te naprave, ki so v varnostnih strategijah pogosto spregledane, predstavljajo privlačne vstopne točke zaradi zastarele vdelane programske opreme, šibkih konfiguracij in redkega nameščanja popravkov. Njihova široka uporaba še povečuje njihovo vrednost kot tarč v obsežnih kibernetskih napadih.
Kazalo
Izkoriščanje znanih ranljivosti za začetni dostop
Kampanja, usmerjena proti napravam TBK DVR, izkorišča ranljivost CVE-2024-3721, ranljivost srednje resnosti z vbrizgavanjem ukazov (ocena CVSS: 6,3), ki prizadene modela DVR-4104 in DVR-4216. Z izkoriščanjem te napake napadalci dostavijo koristni tovor, ki temelji na platformi Mirai, znan kot Nexcorium. Ta ranljivost ni ostala neopažena v prejšnjih kampanjah; prej je bila uporabljena za nameščanje tako različic platform Mirai kot tudi nastajajočega botneta RondoDox.
Poleg tega so prejšnje raziskave izpostavile ekosistem nalagalnika kot storitve, ki je odgovoren za distribucijo več družin zlonamerne programske opreme, vključno z RondoDox, Mirai in Morte, z zlorabo šibkih poverilnic in starejših ranljivosti v usmerjevalnikih, napravah interneta stvari in poslovnih aplikacijah.
Veriga okužbe in uvajanje koristnega tovora
Zaporedje napadov se začne z izkoriščanjem ranljivosti DVR za namestitev skripta za prenos. Ta skript prepozna arhitekturo Linuxa ciljnega sistema in izvede ustrezen koristni nanos botneta. Ko je zlonamerna programska oprema aktivirana, signalizira ogrožanje s prikazom sporočila, ki označuje, da je bil nadzor vzpostavljen.
Nexcorium odraža strukturno zasnovo tradicionalnih različic Mirai, saj vključuje kodirane konfiguracijske podatke, mehanizme za spremljanje sistema in namenske module za izvajanje porazdeljenih napadov zavrnitve storitve.
Tehnike bočnega gibanja in vztrajnosti
Zlonamerna programska oprema širi svoj doseg znotraj omrežij z izkoriščanjem dodatnih ranljivosti, vključno s CVE-2017-17215, ki cilja na naprave Huawei HG532. Uporablja tudi tehnike surove sile z vdelanimi seznami poverilnic za ogrožanje drugih sistemov prek dostopa Telnet.
Ko je dostop dosežen, zlonamerna programska oprema izvede več dejanj:
- Vzpostavi sejo lupine na ogroženem gostitelju
- Konfigurira vztrajnost z uporabo storitev crontab in systemd
- Poveže se z oddaljenim strežnikom za upravljanje in nadzor za navodila
Ti koraki zagotavljajo nadaljnji nadzor, hkrati pa zmanjšujejo možnosti odkrivanja in analize.
Zmogljivosti botnetov in operativni vpliv
Po zagotovitvi trajnosti Nexcorium napadalcem omogoča izvajanje vrste napadov DDoS z uporabo več protokolov, vključno z:
UDP
TCP
SMTP
Ta večvektorska zmogljivost omogoča prilagodljive in zelo učinkovite scenarije napadov, zaradi česar botnet predstavlja veliko grožnjo ciljni infrastrukturi.
Vztrajna grožnja in prihodnja tveganja
Nexcorium ponazarja razvoj botnetov, osredotočenih na internet stvari, saj združuje ponovno uporabo izkoriščanja, združljivost med arhitekturami in robustne mehanizme vztrajnosti. Njegova integracija znanih ranljivosti skupaj z agresivnimi taktikami surove sile kaže na visoko stopnjo prilagodljivosti.
Nadaljnje zanašanje na privzete poverilnice in naprave brez popravkov zagotavlja, da bodo ekosistemi interneta stvari ostali kritična šibka točka. Brez bistvenih izboljšav v praksah varnosti naprav bodo ti sistemi še naprej spodbujali obsežne operacije botnetov in motili stabilnost globalnega omrežja.
