InfectedSlurs Botnet

Một botnet phần mềm độc hại được phát hiện gần đây, 'InfectedSlurs', đang lợi dụng hai lỗ hổng zero-day cho Thực thi mã từ xa (RCE) để xâm phạm các bộ định tuyến và thiết bị ghi video (NVR). Phần mềm đe dọa này chiếm quyền kiểm soát các thiết bị bị nhiễm, kết hợp chúng vào một nhóm DDoS (Từ chối dịch vụ phân tán), có thể được cho thuê để thu lợi tài chính. Các nhà phân tích cho rằng các dấu hiệu hoạt động sớm nhất của botnet này có từ cuối năm 2022, nhưng nó được phát hiện lần đầu tiên vào tháng 10 năm 2023.

Botnet InfectedSlurs đã được quản lý để vẫn nằm trong tầm kiểm soát

Các nhà phân tích đã phát hiện hành vi đáng ngờ liên quan đến các cuộc thăm dò tần số thấp đang cố gắng xác thực thông qua các yêu cầu POST, sau đó là nỗ lực chèn lệnh. Bằng cách sử dụng dữ liệu có sẵn, các nhà nghiên cứu đã tiến hành quét toàn diện trên Internet và xác định rằng các thiết bị bị ảnh hưởng có liên quan đến một nhà sản xuất NVR cụ thể. Phát hiện của họ chỉ ra rằng botnet khai thác lỗ hổng thực thi mã từ xa (RCE) chưa được báo cáo để xâm nhập trái phép vào thiết bị.

Khi kiểm tra kỹ hơn, người ta phát hiện ra rằng phần mềm độc hại lợi dụng thông tin xác thực mặc định có trong hướng dẫn sử dụng của nhà cung cấp cho các sản phẩm NVR khác nhau. Nó sử dụng những thông tin xác thực này để cài đặt ứng dụng khách bot và thực hiện các hành động độc hại khác. Đi sâu hơn vào cuộc điều tra, người ta phát hiện ra rằng mạng botnet này cũng nhắm mục tiêu vào bộ định tuyến mạng LAN không dây được sử dụng rộng rãi, phổ biến đối với người dùng gia đình và khách sạn. Bộ định tuyến này dễ mắc phải một lỗ hổng RCE zero-day khác bị phần mềm độc hại khai thác cho các hoạt động của nó.

InfectedSlurs cho thấy những cải tiến nhỏ so với Mirai

Phần mềm độc hại được xác định, được các nhà nghiên cứu đặt tên là 'InfectedSlurs', lấy tên từ việc sử dụng ngôn ngữ gây khó chịu có trong các miền Lệnh và Kiểm soát (C2, C&C) và các chuỗi được mã hóa cứng. Cơ sở hạ tầng C2, dường như cũng tạo điều kiện thuận lợi cho hoạt động của hailBot, thể hiện sự tập trung đáng chú ý. Mối đe dọa này được xác định là một biến thể của JenX Mirai. Ngoài ra, một cuộc điều tra đã phát hiện ra một tài khoản Telegram được liên kết với cụm này, mặc dù tài khoản này đã bị xóa.

Người dùng đằng sau tài khoản đã chia sẻ ảnh chụp màn hình tiết lộ gần 10 nghìn bot sử dụng giao thức Telnet và thêm 12.000 bot nhắm mục tiêu các loại/nhãn hiệu thiết bị cụ thể như 'Vacron', 'ntel' và 'UTT-Bots.'

Sau khi phân tích, các sửa đổi mã tối thiểu đã được xác định so với Mirai Botnet ban đầu, cho thấy InfectedSlurs hoạt động như một công cụ DDoS tự lan truyền. Nó hỗ trợ các cuộc tấn công sử dụng lũ yêu cầu SYN, UDP và HTTP GET.

Tương tự như Mirai, InfectedSlurs thiếu cơ chế duy trì. Vì không có bản vá sẵn có cho các thiết bị bị ảnh hưởng nên có thể tạm thời làm gián đoạn mạng botnet bằng cách khởi động lại thiết bị NVR và bộ định tuyến.