Nexcorium Botnet
Isiniwalat ng mga imbestigasyon sa cybersecurity na aktibong sinasamantala ng mga aktor ng banta ang mga kahinaan sa seguridad sa mga TBK DVR system at mga end-of-life TP-Link Wi-Fi router upang mag-deploy ng mga variant ng Mirai botnet. Ang mga device na ito, na kadalasang napapabayaan sa mga estratehiya sa seguridad, ay nagpapakita ng mga kaakit-akit na entry point dahil sa luma nang firmware, mahinang configuration, at madalang na pag-patch. Ang kanilang malawakang pag-deploy ay lalong nagpapalakas ng kanilang halaga bilang mga target sa malawakang cyberattack.
Talaan ng mga Nilalaman
Paggamit ng mga Kilalang Kahinaan para sa Unang Pag-access
Ang kampanyang nagta-target sa mga TBK DVR device ay gumagamit ng CVE-2024-3721, isang kahinaan sa medium-severity command injection (CVSS score: 6.3) na nakakaapekto sa mga modelong DVR-4104 at DVR-4216. Sa pamamagitan ng pagsasamantala sa depektong ito, naghahatid ang mga attacker ng isang payload na nakabatay sa Mirai na kilala bilang Nexcorium. Ang kahinaang ito ay hindi napapansin sa mga nakaraang kampanya; dati na itong ginamit upang i-deploy ang parehong mga variant ng Mirai at ang umuusbong na RondoDox botnet.
Bukod pa rito, itinampok ng mga naunang pananaliksik ang isang loader-as-a-service ecosystem na responsable sa pamamahagi ng maraming pamilya ng malware, kabilang ang RondoDox, Mirai, at Morte, sa pamamagitan ng pag-abuso sa mahihinang kredensyal at mga lumang kahinaan sa mga router, IoT device, at mga enterprise application.
Pagkakabit ng Infection Chain at Pag-deploy ng Payload
Ang pagkakasunod-sunod ng pag-atake ay nagsisimula sa paggamit ng kahinaan ng DVR upang mag-deploy ng downloader script. Kinikilala ng script na ito ang arkitektura ng Linux ng target na system at isinasagawa ang naaangkop na payload ng botnet. Kapag na-activate na, ang malware ay nagsenyas ng kompromiso sa pamamagitan ng pagpapakita ng mensahe na nagpapahiwatig na naitatag na ang kontrol.
Sinasalamin ng Nexcorium ang disenyo ng istruktura ng mga tradisyonal na variant ng Mirai, na isinasama ang naka-encode na datos ng configuration, mga mekanismo sa pagsubaybay sa system, at mga nakalaang module para sa paglulunsad ng mga distributed denial-of-service attack.
Mga Teknik sa Paggalaw sa Lateral at Pagtitiyaga
Pinalalawak ng malware ang sakop nito sa loob ng mga network sa pamamagitan ng pagsasamantala sa mga karagdagang kahinaan, kabilang ang CVE-2017-17215, na tumatarget sa mga Huawei HG532 device. Gumagamit din ito ng mga brute-force na pamamaraan gamit ang mga naka-embed na listahan ng kredensyal upang ikompromiso ang iba pang mga sistema sa pamamagitan ng Telnet access.
Kapag na-access na, ang malware ay nagsasagawa ng ilang mga aksyon:
- Nagtatatag ng shell session sa nakompromisong host
- Kino-configure ang persistence gamit ang crontab at systemd services
- Kumokonekta sa isang remote Command-and-Control server para sa mga tagubilin
Tinitiyak ng mga hakbang na ito ang patuloy na kontrol habang binabawasan ang mga pagkakataon ng pagtuklas at pagsusuri.
Mga Kakayahan ng Botnet at Epekto sa Operasyon
Matapos ma-secure ang persistence, binibigyang-daan ng Nexcorium ang mga attacker na magsagawa ng iba't ibang DDoS attack gamit ang maraming protocol, kabilang ang:
UDP
TCP
SMTP
Ang kakayahang multi-vector na ito ay nagbibigay-daan para sa mga flexible at high-impact na senaryo ng pag-atake, na ginagawa ang botnet na isang malaking banta sa naka-target na imprastraktura.
Tanawin ng Patuloy na Banta at mga Panganib sa Hinaharap
Inihahalimbawa ng Nexcorium ang ebolusyon ng mga botnet na nakatuon sa IoT, na pinagsasama ang paggamit muli gamit ang exploit, cross-architecture compatibility, at matatag na mekanismo ng persistence. Ang pagsasama nito ng mga kilalang kahinaan kasama ng agresibong brute-force tactics ay nagpapakita ng mataas na antas ng kakayahang umangkop.
Ang patuloy na pag-asa sa mga default na kredensyal at mga hindi pa na-patch na device ay nagsisiguro na ang mga IoT ecosystem ay mananatiling isang kritikal na kahinaan. Kung walang makabuluhang mga pagpapabuti sa mga kasanayan sa seguridad ng device, ang mga sistemang ito ay patuloy na magpapasigla sa malawakang operasyon ng botnet at makakagambala sa pandaigdigang katatagan ng network.
