Ботнет Nexcorium
Розслідування кібербезпеки показують, що зловмисники активно використовують слабкі місця в системах відеореєстраторів TBK та відпрацьованих Wi-Fi-маршрутизаторах TP-Link для розгортання варіантів ботнету Mirai. Ці пристрої, які часто ігноруються в стратегіях безпеки, є привабливими точками входу через застаріле програмне забезпечення, слабкі конфігурації та рідкісне оновлення. Їхнє широке розгортання ще більше підвищує їхню цінність як цілей для масштабних кібератак.
Зміст
Використання відомих вразливостей для початкового доступу
Кампанія, спрямована проти відеореєстраторів TBK, використовує CVE-2024-3721, вразливість середнього рівня ризику, що дозволяє впроваджувати команди (оцінка CVSS: 6,3), що впливає на моделі DVR-4104 та DVR-4216. Використовуючи цю вразливість, зловмисники розповсюджують корисне навантаження на основі Mirai, відому як Nexcorium. Ця вразливість не залишилася непоміченою в попередніх кампаніях; раніше вона використовувалася для розгортання як варіантів Mirai, так і нової ботнету RondoDox.
Крім того, попередні дослідження висвітлили екосистему завантажувача як послуги, відповідальну за розповсюдження кількох сімейств шкідливих програм, включаючи RondoDox, Mirai та Morte, шляхом зловживання слабкими обліковими даними та застарілими вразливостями в маршрутизаторах, пристроях Інтернету речей та корпоративних додатках.
Ланцюг зараження та розгортання корисного навантаження
Послідовність атаки починається з використання вразливості DVR для розгортання скрипта завантажувача. Цей скрипт ідентифікує архітектуру Linux цільової системи та виконує відповідне корисне навантаження ботнету. Після активації шкідливе програмне забезпечення сигналізує про компрометацію, відображаючи повідомлення про встановлення контролю.
Nexcorium відображає структурну конструкцію традиційних варіантів Mirai, включаючи закодовані дані конфігурації, механізми моніторингу системи та спеціальні модулі для запуску розподілених атак типу «відмова в обслуговуванні».
Техніки бічного руху та наполегливості
Шкідливе програмне забезпечення розширює свою охоплення мережами, використовуючи додаткові вразливості, зокрема CVE-2017-17215, спрямовану на пристрої Huawei HG532. Воно також використовує методи грубої сили з використанням вбудованих списків облікових даних для компрометації інших систем через доступ Telnet.
Після отримання доступу шкідливе програмне забезпечення виконує кілька дій:
- Встановлює сеанс оболонки на скомпрометованому хості
- Налаштовує збереження даних за допомогою служб crontab та systemd
- Підключається до віддаленого сервера командування та управління для отримання інструкцій
- Видаляє оригінальний бінарний файл, щоб зменшити видимість для судово-медичної експертизи
Ці кроки забезпечують постійний контроль, мінімізуючи при цьому ймовірність виявлення та аналізу.
Можливості ботнету та його вплив на операційну діяльність
Після забезпечення стійкості, Nexcorium дозволяє зловмисникам виконувати низку DDoS-атак, використовуючи різні протоколи, зокрема:
Уніфікований діловий процес (UDP)
ТСР
SMTP-адреса
Ця багатовекторна здатність дозволяє створювати гнучкі та потужні сценарії атак, що робить ботнет значною загрозою для цільової інфраструктури.
Постійний ландшафт загроз та майбутні ризики
Nexcorium є прикладом еволюції ботнетів, орієнтованих на Інтернет речей, поєднуючи повторне використання експлойтів, крос-архітектурну сумісність та надійні механізми збереження. Його інтеграція відомих вразливостей разом з агресивною тактикою грубої сили демонструє високий ступінь адаптивності.
Постійна залежність від облікових даних за замовчуванням та непатчених пристроїв гарантує, що екосистеми Інтернету речей залишатимуться критично слабким місцем. Без суттєвих покращень у методах безпеки пристроїв ці системи продовжуватимуть підживлювати масштабні операції ботнетів та порушувати стабільність глобальної мережі.
