InfectedSlurs Botnet udnytter Zero-Day RCE-sårbarheder

Akamai har identificeret et nyligt opdaget Mirai-baseret DDoS-botnet kaldet InfectedSlurs, der aktivt udnytter to nul-dages sårbarheder til at inficere routere og videooptagere (NVR) enheder.

Selvom forskerne opdagede botnettet i oktober 2023, har de mistanke om, at dets aktivitet går tilbage til mindst 2022. På trods af rapportering af de to sårbarheder til de respektive leverandører, er rettelserne planlagt til udgivelse i december 2023.

I oktober observerede Akamais Security Intelligence Response Team (SIRT) usædvanlig aktivitet rettet mod virksomhedens honeypots, specifikt rettet mod en sjældent brugt TCP-port.

Analysen udgivet af Akamai afslører, at der i slutningen af oktober 2023 blev set en lille stigning i aktiviteten på deres honningpotter rettet mod en sjældent brugt TCP-port. Indtil den 9. november 2023 var de målrettede enheder uidentificerede, og sonderingen involverede lavfrekvente forsøg. Metoden involverede initiering af godkendelse via en POST-anmodning, efterfulgt af kommandoindsprøjtning ved succesfuld godkendelse.

Akamai afholdt sig fra at oplyse navnene på de berørte leverandører. Forskerne fandt ud af, at botten også brugte standard admin-legitimationsoplysninger til at installere Mirai-varianter. Yderligere undersøgelser af kampagnen afslørede, at botten er rettet mod trådløse LAN-routere designet til hoteller og boligapplikationer.

InfectedSlurs Baseret på JenX

InfectedSlurs er forankret i JenX Mirai malware-varianten, som i 2018 brugte Grand Theft Auto-videospilfællesskabet til at infiltrere enheder. Akamai hævder, at InfectedSlurs-koden ligner meget den fra det originale Mirai-botnet.

Eksperterne bemærkede, at varianten, der blev brugt i oktober 2023-kampagnen, deler de samme funktioner og hukommelsesplaceringer som en Mirai-variant, der blev brugt i april 2023. Derudover brugte andre botnets, herunder hailBot Mirai-varianten, Command and Control (C2)-infrastrukturen, der blev brugt i denne kampagne. Forskerne identificerede også referencer til noget C2-infrastruktur fra en slettet Telegram-bruger i den berygtede DDoS-markedskanal DStatCC.

Akamais SIRT samarbejder med CISA/US-CERT og JPCERT for at underrette leverandører om de berørte enheder. I et forsøg på at give leverandører tid til at implementere patches, offentliggøres detaljerede oplysninger ikke offentligt. Men på grund af den aktive udnyttelse af disse sårbarheder inkluderer rapporten Snort- og YARA-regler for at hjælpe forsvarere med at identificere udnyttelsesforsøg og potentielle infektioner i deres miljøer.