Nexcorium Botnät
Cybersäkerhetsutredningar visar att hotaktörer aktivt utnyttjar säkerhetsbrister i TBK DVR-system och uttjänta TP-Link Wi-Fi-routrar för att driftsätta varianter av Mirai-botnätet. Dessa enheter, som ofta förbises i säkerhetsstrategier, utgör attraktiva instegspunkter på grund av föråldrad firmware, svaga konfigurationer och sällsynta patchar. Deras utbredda driftsättning förstärker ytterligare deras värde som måltavlor i storskaliga cyberattacker.
Innehållsförteckning
Utnyttjande av kända sårbarheter för initial åtkomst
Kampanjen som riktar sig mot TBK DVR-enheter utnyttjar CVE-2024-3721, en sårbarhet med medelhög allvarlighetsgrad för kommandoinjektion (CVSS-poäng: 6,3) som påverkar modellerna DVR-4104 och DVR-4216. Genom att utnyttja denna sårbarhet levererar angripare en Mirai-baserad nyttolast som kallas Nexcorium. Denna sårbarhet har inte gått obemärkt förbi i tidigare kampanjer; den har tidigare använts för att driftsätta både Mirai-varianter och det framväxande botnätet RondoDox.
Dessutom belyste tidigare forskning ett ekosystem av typen loader-as-a-service som ansvarar för att distribuera flera familjer av skadlig kod, inklusive RondoDox, Mirai och Morte, genom att missbruka svaga autentiseringsuppgifter och äldre sårbarheter i routrar, IoT-enheter och företagsapplikationer.
Infektionskedja och nyttolastdistribution
Attacksekvensen börjar med att DVR-sårbarheten utnyttjas för att distribuera ett nedladdningsskript. Detta skript identifierar målsystemets Linux-arkitektur och kör lämplig botnätsnyttolast. När den aktiveras signalerar skadlig kod att den har intrångat genom att visa ett meddelande som indikerar att kontroll har upprättats.
Nexcorium speglar den strukturella designen hos traditionella Mirai-varianter och innehåller kodad konfigurationsdata, systemövervakningsmekanismer och dedikerade moduler för att starta distribuerade denial-of-service-attacker.
Sidoförflyttning och uthållighetstekniker
Skadlig programvara utökar sin räckvidd inom nätverk genom att utnyttja ytterligare sårbarheter, inklusive CVE-2017-17215, som riktar sig mot Huawei HG532-enheter. Den använder också brute-force-tekniker med inbäddade autentiseringslistor för att kompromettera andra system via Telnet-åtkomst.
När åtkomst uppnåtts utför skadlig programvara flera åtgärder:
- Upprättar en shell-session på den komprometterade värden
- Konfigurerar persistens med hjälp av crontab- och systemd-tjänster
- Ansluter till en fjärrstyrd kommando- och kontrollserver för instruktioner
- Tar bort den ursprungliga binärfilen för att minska den forensiska synligheten
Dessa steg säkerställer fortsatt kontroll samtidigt som risken för upptäckt och analys minimeras.
Botnätets kapacitet och operativ påverkan
Efter att ha säkrat persistens gör Nexcorium det möjligt för angripare att utföra en rad DDoS-attacker med hjälp av flera protokoll, inklusive:
UDP
TCP
SMTP
Denna multivektorkapacitet möjliggör flexibla och kraftfulla attackscenarier, vilket gör botnätet till ett betydande hot mot riktad infrastruktur.
Ihållande hotbild och framtida risker
Nexcorium exemplifierar utvecklingen av IoT-fokuserade botnät, genom att kombinera återanvändning av attacker, kompatibilitet mellan arkitekturer och robusta persistensmekanismer. Dess integration av kända sårbarheter tillsammans med aggressiva brute-force-taktik visar en hög grad av anpassningsförmåga.
Det fortsatta beroendet av standardinloggningsuppgifter och ouppdaterade enheter säkerställer att IoT-ekosystem kommer att förbli en kritisk svag punkt. Utan betydande förbättringar av enhetssäkerhetspraxis kommer dessa system att fortsätta att driva storskaliga botnätsoperationer och störa den globala nätverksstabiliteten.
