Nexcorium Botnet
Hetimet e sigurisë kibernetike zbulojnë se aktorët kërcënues po shfrytëzojnë në mënyrë aktive dobësitë e sigurisë në sistemet TBK DVR dhe routerat Wi-Fi TP-Link në fund të jetës për të vendosur variante të botnet Mirai. Këto pajisje, të cilat shpesh anashkalohen në strategjitë e sigurisë, paraqesin pika hyrëse tërheqëse për shkak të firmware-it të vjetëruar, konfigurimeve të dobëta dhe patch-eve të rralla. Vendosja e tyre e përhapur e amplifikon më tej vlerën e tyre si objektiva në sulmet kibernetike në shkallë të gjerë.
Tabela e Përmbajtjes
Shfrytëzimi i dobësive të njohura për aksesin fillestar
Fushata që synon pajisjet TBK DVR shfrytëzon CVE-2024-3721, një dobësi të injektimit të komandës me ashpërsi mesatare (rezultati CVSS: 6.3) që prek modelet DVR-4104 dhe DVR-4216. Duke shfrytëzuar këtë të metë, sulmuesit ofrojnë një ngarkesë të bazuar në Mirai të njohur si Nexcorium. Kjo dobësi nuk ka kaluar pa u vënë re në fushatat e mëparshme; më parë është përdorur për të vendosur si variantet Mirai ashtu edhe botnetin në zhvillim RondoDox.
Për më tepër, hulumtimet e mëparshme nxorën në pah një ekosistem ngarkues-si-shërbim përgjegjës për shpërndarjen e familjeve të shumta të programeve keqdashëse, duke përfshirë RondoDox, Mirai dhe Morte, duke abuzuar me kredencialet e dobëta dhe dobësitë e trashëguara në të gjithë ruterët, pajisjet IoT dhe aplikacionet e ndërmarrjeve.
Zinxhiri i Infeksionit dhe Vendosja e Ngarkesës
Sekuenca e sulmit fillon me shfrytëzimin e cenueshmërisë së DVR për të vendosur një skript shkarkues. Ky skript identifikon arkitekturën Linux të sistemit të synuar dhe ekzekuton ngarkesën e duhur të botnet-it. Pasi aktivizohet, programi keqdashës sinjalizon kompromentim duke shfaqur një mesazh që tregon se është vendosur kontrolli.
Nexcorium pasqyron dizajnin strukturor të varianteve tradicionale të Mirai, duke përfshirë të dhëna të koduara të konfigurimit, mekanizma monitorimi të sistemit dhe module të dedikuara për nisjen e sulmeve të shpërndara të mohimit të shërbimit.
Teknikat e Lëvizjes Laterale dhe Këmbënguljes
Malware-i zgjeron shtrirjen e tij brenda rrjeteve duke shfrytëzuar dobësi shtesë, duke përfshirë CVE-2017-17215, që synon pajisjet Huawei HG532. Ai gjithashtu përdor teknika brute-force duke përdorur lista të kredencialeve të integruara për të kompromentuar sisteme të tjera nëpërmjet aksesit Telnet.
Pasi të arrihet qasja, malware kryen disa veprime:
- Krijon një seancë shell në hostin e kompromentuar
- Konfiguron qëndrueshmërinë duke përdorur shërbimet crontab dhe systemd
- Lidhet me një server të largët të Komandës dhe Kontrollit për udhëzime
- Fshin skedarin binar origjinal për të zvogëluar dukshmërinë mjeko-ligjore
Këto hapa sigurojnë kontroll të vazhdueshëm, duke minimizuar njëkohësisht shanset e zbulimit dhe analizës.
Aftësitë e Botnet-it dhe Ndikimi Operacional
Pas sigurimit të qëndrueshmërisë, Nexcorium u mundëson sulmuesve të ekzekutojnë një gamë sulmesh DDoS duke përdorur protokolle të shumëfishta, duke përfshirë:
UDP
TCP
SMTP
Kjo aftësi shumëvektoriale lejon skenarë sulmi fleksibël dhe me ndikim të lartë, duke e bërë botnet-in një kërcënim të rëndësishëm për infrastrukturën e synuar.
Peizazhi i kërcënimeve të vazhdueshme dhe rreziqet e ardhshme
Nexcorium ilustron evolucionin e botnet-eve të fokusuara në IoT, duke kombinuar ripërdorimin e shfrytëzimeve, përputhshmërinë ndërarkitekturore dhe mekanizmat e fuqishëm të qëndrueshmërisë. Integrimi i tij i dobësive të njohura së bashku me taktikat agresive të forcës brutale tregon një shkallë të lartë përshtatshmërie.
Mbështetja e vazhdueshme te kredencialet e parazgjedhura dhe pajisjet e paarnuara siguron që ekosistemet e IoT do të mbeten një pikë e dobët kritike. Pa përmirësime të rëndësishme në praktikat e sigurisë së pajisjeve, këto sisteme do të vazhdojnë të nxisin operacionet e botnet në shkallë të gjerë dhe të prishin stabilitetin e rrjetit global.
