Неккоријум ботнет

Истраге сајбер безбедности откривају да актери претњи активно користе безбедносне слабости у TBK DVR системима и истрошеним TP-Link Wi-Fi рутерима како би распоредили варијанте Mirai ботнета. Ови уређаји, често занемарени у безбедносним стратегијама, представљају атрактивне улазне тачке због застарелог фирмвера, слабих конфигурација и ретког ажурирања. Њихова широка примена додатно појачава њихову вредност као мета у великим сајбер нападима.

Искоришћавање познатих рањивости за почетни приступ

Кампања усмерена на TBK DVR уређаје користи CVE-2024-3721, рањивост средње озбиљности која убризгава команде (CVSS резултат: 6,3) и која погађа моделе DVR-4104 и DVR-4216. Искоришћавањем ове грешке, нападачи испоручују корисни терет заснован на Mirai-ју познат као Nexcorium. Ова рањивост није прошла незапажено у претходним кампањама; претходно је коришћена за распоређивање и Mirai варијанти и новог RondoDox ботнета.

Поред тога, ранија истраживања су истакла екосистем „loader-as-a-service“ који је одговоран за дистрибуцију више породица злонамерног софтвера, укључујући RondoDox, Mirai и Morte, злоупотребом слабих акредитива и наслеђених рањивости на рутерима, IoT уређајима и пословним апликацијама.

Ланац инфекције и распоређивање корисног терета

Секвенца напада почиње искоришћавањем рањивости DVR-а за постављање скрипте за преузимање. Ова скрипта идентификује Linux архитектуру циљног система и извршава одговарајући ботнет пакет. Једном активиран, злонамерни софтвер сигнализира компромитовање приказивањем поруке која указује да је контрола успостављена.

Неккоријум одражава структурни дизајн традиционалних варијанти Мираија, укључујући кодиране податке о конфигурацији, механизме за праћење система и наменске модуле за покретање дистрибуираних напада ускраћивања услуге.

Технике бочног кретања и истрајности

Злонамерни софтвер проширује свој домет унутар мрежа искоришћавајући додатне рањивости, укључујући CVE-2017-17215, која циља Huawei HG532 уређаје. Такође користи технике грубе силе користећи уграђене листе акредитива како би угрозио друге системе путем Телнет приступа.

Када се приступ оствари, злонамерни софтвер извршава неколико радњи:

• Успоставља шел сесију на угроженом хосту
• Конфигурише перзистентност користећи crontab и systemd сервисе
• Повезује се са удаљеним сервером за командовање и контролу ради инструкција
• Брише оригинални бинарни фајл како би се смањила форензичка видљивост

Ови кораци осигуравају континуирану контролу, а истовремено минимизирају шансе за откривање и анализу.

Могућности ботнета и оперативни утицај

Након што обезбеди постојаност, Nexcorium омогућава нападачима да изврше низ DDoS напада користећи више протокола, укључујући:

УДП
ТЦП
СМТП

Ова вишевекторска способност омогућава флексибилне сценарије напада са великим утицајем, што ботнет чини значајном претњом за циљану инфраструктуру.

Перзистентно стање претњи и будући ризици

Неккоријум је пример еволуције ботнета фокусираних на Интернет ствари, комбинујући поновну употребу експлоата, компатибилност између различитих архитектура и робусне механизме перзистентности. Његова интеграција познатих рањивости заједно са агресивним тактикама грубе силе показује висок степен прилагодљивости.

Континуирано ослањање на подразумеване акредитиве и уређаје без закрпа осигурава да ће IoT екосистеми остати критична слаба тачка. Без значајних побољшања у пракси безбедности уређаја, ови системи ће наставити да подстицају велике ботнет операције и нарушавају стабилност глобалне мреже.