Nexcorium Botnet

網路安全調查顯示，攻擊者正積極利用TBK DVR系統和已停產的TP-Link Wi-Fi路由器中的安全漏洞，部署Mirai殭屍網路的各種變種。這些設備在安全策略中往往被忽視，由於韌體過時、配置薄弱且修補程式更新不及時，它們成為了極具吸引力的攻擊入口。這些設備的廣泛部署進一步凸顯了它們在大規模網路攻擊中作為目標的價值。

利用已知漏洞進行初始訪問

這次針對TBK DVR設備的攻擊活動利用了CVE-2024-3721漏洞，這是一個中等嚴重程度的命令注入漏洞（CVSS評分：6.3），影響DVR-4104和DVR-4216型號。攻擊者利用此漏洞，植入名為Nexcorium的基於Mirai的有效載荷。該漏洞先前也曾被用於其他攻擊活動；它曾被用於部署Mirai變種以及新興的RondoDox殭屍網路。

此外，早期的研究還強調了一個載入器即服務生態系統，該系統透過濫用路由器、物聯網設備和企業應用程式中的弱憑證和遺留漏洞，傳播了包括 RondoDox、Mirai 和 Morte 在內的多個惡意軟體家族。

感染鍊和有效載荷部署

攻擊序列首先利用DVR漏洞部署下載腳本。此腳本會辨識目標系統的Linux架構，並執行對應的殭屍網路酬載。一旦激活，惡意軟體會顯示一則訊息，表示系統已被控制，從而發出已被攻破的訊號。

Nexcorium 的結構設計與傳統的 Mirai 變體類似，它融合了編碼的配置資料、系統監控機制以及用於發動分散式阻斷服務攻擊的專用模組。

橫向移動和堅持技巧

該惡意軟體利用包括 CVE-2017-17215 在內的其他漏洞，擴大其在網路中的傳播範圍，該漏洞專門針對華為 HG532 設備。它還採用暴力破解技術，利用嵌入式憑證列表，透過 Telnet 存取入侵其他系統。

一旦獲得存取權限，惡意軟體會執行以下幾個操作：

• 在被入侵的主機上建立 shell 會話
• 使用 crontab 和 systemd 服務配置持久化
• 連接到遠端命令與控制伺服器以取得指令

這些措施可確保持續控制，同時最大限度地降低被發現和分析的可能性。

殭屍網路能力及其對營運的影響

在確保持久性之後，Nexcorium 使攻擊者能夠使用多種協定執行一系列 DDoS 攻擊，包括：

UDP
TCP
SMTP

這種多向量攻擊能力可以實現靈活且高影響力的攻擊場景，使殭屍網路對目標基礎設施構成重大威脅。

持續存在的威脅情勢與未來風險

Nexcorium 是物聯網殭屍網路演進的典型代表，它融合了漏洞利用重複使用、跨架構相容性和強大的持久化機制。它將已知漏洞與激進的暴力破解策略結合，展現了其高度的適應性。

繼續依賴預設憑證和未打補丁的設備，注定物聯網生態系統將始終是關鍵的弱點。如果設備安全措施未顯著改進，這些系統將繼續助長大規模殭屍網路活動，並破壞全球網路穩定。