InfectedSlurs Botnet

ఇటీవల కనుగొనబడిన మాల్‌వేర్ బాట్‌నెట్, 'ఇన్‌ఫెక్టెడ్‌స్లర్స్', రూటర్‌లు మరియు వీడియో రికార్డర్ (NVR) పరికరాలను రాజీ చేయడానికి రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) కోసం రెండు జీరో-డే దుర్బలత్వాలను ప్రభావితం చేస్తోంది. ఈ బెదిరింపు సాఫ్ట్‌వేర్ సోకిన పరికరాలపై నియంత్రణను తీసుకుంటుంది, వాటిని DDoS (డిస్ట్రిబ్యూటెడ్ డినియల్ ఆఫ్ సర్వీస్) సమూహంలో కలుపుతుంది, ఆర్థిక లాభం కోసం అద్దెకు ఇవ్వబడుతుంది. బోట్‌నెట్ కార్యాచరణకు సంబంధించిన ప్రారంభ సంకేతాలు 2022 చివరి వరకు ఉన్నాయని విశ్లేషకులు సూచిస్తున్నారు, అయితే ఇది మొదటిసారిగా అక్టోబర్ 2023లో కనుగొనబడింది.

ఇన్‌ఫెక్టెడ్‌స్లర్స్ బాట్‌నెట్ రాడార్ కింద ఉండిపోయింది

POST అభ్యర్థనల ద్వారా ప్రమాణీకరణకు ప్రయత్నించే తక్కువ-ఫ్రీక్వెన్సీ ప్రోబ్‌లతో కూడిన అనుమానాస్పద ప్రవర్తనను విశ్లేషకులు గుర్తించారు, ఆ తర్వాత కమాండ్ ఇంజెక్షన్ ప్రయత్నం జరిగింది. అందుబాటులో ఉన్న డేటాను ఉపయోగించి, పరిశోధకులు ఇంటర్నెట్‌లో సమగ్ర స్కాన్‌ను నిర్వహించారు మరియు ప్రభావిత పరికరాలు నిర్దిష్ట NVR తయారీదారుతో అనుబంధించబడి ఉన్నాయని గుర్తించారు. పరికరానికి అనధికారిక ప్రవేశాన్ని పొందడానికి బోట్‌నెట్ నివేదించబడని రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) దుర్బలత్వాన్ని ఉపయోగించుకుందని వారి పరిశోధనలు సూచించాయి.

నిశితంగా పరిశీలించిన తర్వాత, వివిధ NVR ఉత్పత్తుల కోసం విక్రేత యొక్క మాన్యువల్స్‌లో కనిపించే డిఫాల్ట్ ఆధారాలను మాల్వేర్ సద్వినియోగం చేసుకుంటుందని వెల్లడైంది. ఇది బోట్ క్లయింట్‌ను ఇన్‌స్టాల్ చేయడానికి మరియు ఇతర హానికరమైన చర్యలను నిర్వహించడానికి ఈ ఆధారాలను ఉపయోగిస్తుంది. దర్యాప్తును మరింతగా పరిశీలిస్తే, గృహ వినియోగదారులు మరియు హోటళ్లలో ప్రసిద్ధి చెందిన విస్తృతంగా ఉపయోగించే వైర్‌లెస్ LAN రౌటర్‌ను కూడా బోట్‌నెట్ లక్ష్యంగా చేసుకుంటుందని కనుగొనబడింది. ఈ రౌటర్ మాల్వేర్ తన కార్యకలాపాల కోసం ఉపయోగించుకున్న మరొక జీరో-డే RCE లోపానికి గురవుతుంది.

ఇన్ఫెక్టెడ్ స్లర్స్ మిరాయ్‌పై కొద్దిగా మెరుగుదలలను చూపుతుంది

గుర్తించబడిన మాల్వేర్, పరిశోధకులచే 'ఇన్‌ఫెక్టెడ్‌స్లర్స్' అని పిలుస్తారు, కమాండ్-అండ్-కంట్రోల్ (C2, C&C) డొమైన్‌లు మరియు హార్డ్‌కోడ్ స్ట్రింగ్‌లలో ఉన్న అభ్యంతరకరమైన భాష యొక్క వినియోగం నుండి దాని పేరును సంపాదించింది. C2 అవస్థాపన, ఇది hailBot కార్యకలాపాలను సులభతరం చేస్తుంది, ఇది గుర్తించదగిన ఏకాగ్రతను ప్రదర్శిస్తుంది. ఈ ముప్పు JenX Mirai వేరియంట్‌గా గుర్తించబడింది. అదనంగా, క్లస్టర్‌తో అనుబంధించబడిన టెలిగ్రామ్ ఖాతాను దర్యాప్తులో కనుగొనబడింది, అయినప్పటికీ ఖాతా తొలగించబడింది.

ఖాతా వెనుక ఉన్న వినియోగదారు టెల్నెట్ ప్రోటోకాల్‌ను ఉపయోగించి దాదాపు పది వేల బాట్‌లను బహిర్గతం చేసే స్క్రీన్‌షాట్‌లను షేర్ చేసారు మరియు 'Vacron,' 'ntel,' మరియు 'UTT-Bots' వంటి నిర్దిష్ట పరికర రకాలు/బ్రాండ్‌లను లక్ష్యంగా చేసుకుని అదనంగా 12,000 బాట్‌లు ఉన్నాయి.

విశ్లేషణ తర్వాత, అసలు మిరాయ్ బోట్‌నెట్‌తో పోల్చితే కనీస కోడ్ మార్పులు గుర్తించబడ్డాయి, ఇన్‌ఫెక్టెడ్‌స్లర్స్ స్వీయ-ప్రచారం చేసే DDoS సాధనంగా పనిచేస్తుందని సూచిస్తుంది. ఇది SYN, UDP మరియు HTTP GET అభ్యర్థన వరదలను ఉపయోగించే దాడులకు మద్దతు ఇస్తుంది.

మిరాయ్ మాదిరిగానే, ఇన్‌ఫెక్టెడ్‌స్లర్స్‌లో నిలకడ మెకానిజం లేదు. ప్రభావిత పరికరాలకు ప్యాచ్ అందుబాటులో లేనందున, NVR మరియు రూటర్ పరికరాలను రీబూట్ చేయడం ద్వారా బోట్‌నెట్‌కు తాత్కాలికంగా అంతరాయం కలిగించవచ్చు.