Nexcorium Botnet

సైబర్‌ సెక్యూరిటీ దర్యాప్తులలో వెల్లడైన విషయమేమిటంటే, ముప్పు కలిగించే వ్యక్తులు TBK DVR సిస్టమ్‌లు మరియు కాలం చెల్లిన TP-Link Wi-Fi రౌటర్‌లలోని భద్రతా లోపాలను ఉపయోగించుకుని, మిరాయ్ బాట్‌నెట్ యొక్క వివిధ రూపాలను చొప్పిస్తున్నారు. భద్రతా వ్యూహాలలో తరచుగా విస్మరించబడే ఈ పరికరాలు, పాత ఫర్మ్‌వేర్, బలహీనమైన కాన్ఫిగరేషన్‌లు మరియు అరుదుగా చేసే ప్యాచ్‌ల కారణంగా ఆకర్షణీయమైన ప్రవేశ మార్గాలుగా మారాయి. వీటి విస్తృత వినియోగం, భారీ సైబర్‌ దాడులలో లక్ష్యాలుగా వాటి విలువను మరింత పెంచుతుంది.

ప్రారంభ యాక్సెస్ కోసం తెలిసిన బలహీనతలను ఉపయోగించుకోవడం

TBK DVR పరికరాలను లక్ష్యంగా చేసుకున్న ఈ దాడి, DVR-4104 మరియు DVR-4216 మోడళ్లను ప్రభావితం చేసే CVE-2024-3721 అనే మధ్యస్థ-తీవ్రత గల కమాండ్ ఇంజెక్షన్ దుర్బలత్వాన్ని (CVSS స్కోర్: 6.3) ఉపయోగించుకుంటుంది. ఈ లోపాన్ని ఉపయోగించుకోవడం ద్వారా, దాడి చేసేవారు నెక్సోరియం అని పిలువబడే మిరాయ్ ఆధారిత పేలోడ్‌ను పంపిస్తారు. గత దాడులలో ఈ దుర్బలత్వం గమనించబడకుండా పోలేదు; దీనిని గతంలో మిరాయ్ వేరియంట్‌లను మరియు కొత్తగా వస్తున్న రోండోడాక్స్ బాట్‌నెట్‌ను మోహరించడానికి ఉపయోగించారు.

దీనికి అదనంగా, రౌటర్లు, ఐఓటీ పరికరాలు మరియు ఎంటర్‌ప్రైజ్ అప్లికేషన్‌లలో బలహీనమైన క్రెడెన్షియల్స్ మరియు పాత లోపాలను దుర్వినియోగం చేయడం ద్వారా రోండోడాక్స్, మిరాయ్ మరియు మోర్టేతో సహా అనేక మాల్వేర్ కుటుంబాలను పంపిణీ చేయడానికి బాధ్యత వహించే లోడర్-యాజ్-ఎ-సర్వీస్ ఎకోసిస్టమ్‌ను మునుపటి పరిశోధన హైలైట్ చేసింది.

సంక్రమణ గొలుసు మరియు పేలోడ్ విస్తరణ

ఈ దాడి క్రమం, డౌన్‌లోడర్ స్క్రిప్ట్‌ను అమలు చేయడానికి DVR బలహీనతను ఉపయోగించుకోవడంతో మొదలవుతుంది. ఈ స్క్రిప్ట్ లక్ష్య సిస్టమ్ యొక్క లైనక్స్ ఆర్కిటెక్చర్‌ను గుర్తించి, దానికి తగిన బాట్‌నెట్ పేలోడ్‌ను అమలు చేస్తుంది. ఒకసారి యాక్టివేట్ అయిన తర్వాత, నియంత్రణ ఏర్పడిందని సూచించే సందేశాన్ని ప్రదర్శించడం ద్వారా మాల్వేర్ తనను పట్టుకున్నట్లు సంకేతం ఇస్తుంది.

నెక్స్కోరియం సాంప్రదాయ మిరాయ్ వేరియంట్ల నిర్మాణ రూపకల్పనను పోలి ఉంటుంది, ఇందులో ఎన్‌కోడ్ చేయబడిన కాన్ఫిగరేషన్ డేటా, సిస్టమ్ పర్యవేక్షణ యంత్రాంగాలు మరియు డిస్ట్రిబ్యూటెడ్ డినయల్-ఆఫ్-సర్వీస్ దాడులను ప్రారంభించడానికి ప్రత్యేక మాడ్యూల్స్ పొందుపరచబడి ఉంటాయి.

పార్శ్వ కదలిక మరియు పట్టుదల పద్ధతులు

ఈ మాల్వేర్, Huawei HG532 పరికరాలను లక్ష్యంగా చేసుకుని, CVE-2017-17215తో సహా అదనపు బలహీనతలను ఉపయోగించుకోవడం ద్వారా నెట్‌వర్క్‌లలో తన పరిధిని విస్తరిస్తుంది. ఇది టెల్నెట్ యాక్సెస్ ద్వారా ఇతర సిస్టమ్‌లను దెబ్బతీయడానికి, పొందుపరిచిన క్రెడెన్షియల్ జాబితాలను ఉపయోగించి బ్రూట్-ఫోర్స్ పద్ధతులను కూడా ప్రయోగిస్తుంది.

ప్రవేశం లభించిన తర్వాత, మాల్వేర్ అనేక చర్యలను చేపడుతుంది:

• దెబ్బతిన్న హోస్ట్‌లో షెల్ సెషన్‌ను ఏర్పాటు చేస్తుంది
• crontab మరియు systemd సేవలను ఉపయోగించి నిలకడను కాన్ఫిగర్ చేస్తుంది
• సూచనల కోసం రిమోట్ కమాండ్-అండ్-కంట్రోల్ సర్వర్‌కు కనెక్ట్ అవుతుంది
• ఫోరెన్సిక్ దృశ్యమానతను తగ్గించడానికి అసలు బైనరీని తొలగిస్తుంది

ఈ చర్యలు గుర్తించడం మరియు విశ్లేషణ చేసే అవకాశాలను తగ్గించడంతో పాటు నిరంతర నియంత్రణను నిర్ధారిస్తాయి.

బాట్‌నెట్ సామర్థ్యాలు మరియు కార్యాచరణ ప్రభావం

నిలకడను సురక్షితం చేసిన తర్వాత, నెక్స్కోరియం దాడి చేసేవారికి ఈ క్రింది బహుళ ప్రోటోకాల్‌లను ఉపయోగించి అనేక రకాల DDoS దాడులను అమలు చేయడానికి వీలు కల్పిస్తుంది:

యూడీపీ
టిసిపి
SMTP

ఈ బహుళ-దిశ సామర్థ్యం, విభిన్నమైన మరియు అధిక ప్రభావం చూపే దాడి దృశ్యాలకు వీలు కల్పిస్తుంది, తద్వారా బాట్‌నెట్ లక్షిత మౌలిక సదుపాయాలకు గణనీయమైన ముప్పుగా మారుతుంది.

నిరంతర ముప్పుల స్వరూపం మరియు భవిష్యత్ ప్రమాదాలు

నెక్స్కోరియం అనేది IoT-కేంద్రీకృత బాట్‌నెట్‌ల పరిణామానికి ఒక ఉదాహరణ. ఇది ఎక్స్‌ప్లాయిట్ పునరుపయోగం, క్రాస్-ఆర్కిటెక్చర్ అనుకూలత మరియు పటిష్టమైన నిలకడ యంత్రాంగాలను మిళితం చేస్తుంది. తెలిసిన బలహీనతలను దూకుడు బ్రూట్-ఫోర్స్ వ్యూహాలతో ఏకీకృతం చేయడం దీని అధిక స్థాయి అనుకూలతను ప్రదర్శిస్తుంది.

డిఫాల్ట్ క్రెడెన్షియల్స్ మరియు ప్యాచ్ చేయని పరికరాలపై నిరంతరంగా ఆధారపడటం వలన, IoT ఎకోసిస్టమ్‌లు ఒక కీలకమైన బలహీనతగా మిగిలిపోతాయి. పరికర భద్రతా పద్ధతులలో గణనీయమైన మెరుగుదలలు లేకుండా, ఈ వ్యవస్థలు భారీ స్థాయి బాట్‌నెట్ కార్యకలాపాలకు ఆజ్యం పోస్తూ, ప్రపంచ నెట్‌వర్క్ స్థిరత్వాన్ని దెబ్బతీస్తూనే ఉంటాయి.