Das InfectedSlurs-Botnet nutzt Zero-Day-RCE-Schwachstellen aus

Akamai hat ein kürzlich entdecktes Mirai-basiertes DDoS-Botnetz namens InfectedSlurs identifiziert, das zwei Zero-Day-Schwachstellen aktiv ausnutzt, um Router und Videorecorder (NVR)-Geräte zu infizieren.

Obwohl die Forscher das Botnetz im Oktober 2023 entdeckten, vermuten sie, dass seine Aktivität mindestens auf das Jahr 2022 zurückgeht. Obwohl die beiden Schwachstellen den jeweiligen Anbietern gemeldet wurden, ist die Veröffentlichung der Korrekturen für Dezember 2023 geplant.

Im Oktober beobachtete das Security Intelligence Response Team (SIRT) von Akamai ungewöhnliche Aktivitäten in den Honeypots des Unternehmens, insbesondere gegen einen selten genutzten TCP-Port.

Die von Akamai veröffentlichte Analyse zeigt, dass Ende Oktober 2023 ein leichter Anstieg der Aktivität in ihren Honeypots festgestellt wurde, die auf einen selten genutzten TCP-Port abzielten. Bis zum 9. November 2023 waren die Zielgeräte nicht identifiziert und die Sondierung erfolgte mit niederfrequenten Versuchen. Die Methode umfasste die Einleitung der Authentifizierung über eine POST-Anfrage und die anschließende Ausnutzung der Befehlsinjektion nach erfolgreicher Authentifizierung.

Akamai verzichtete darauf, die Namen der betroffenen Anbieter preiszugeben. Die Forscher fanden heraus, dass der Bot auch Standard-Administratoranmeldeinformationen nutzte, um Mirai-Varianten zu installieren. Weitere Untersuchungen der Kampagne ergaben, dass der Bot auf WLAN-Router abzielt, die für Hotels und Wohnanwendungen entwickelt wurden.

InfectedSlurs basierend auf JenX

InfectedSlurs hat seinen Ursprung in der Malware-Variante JenX Mirai, die 2018 die Videospiel-Community Grand Theft Auto nutzte, um Geräte zu infiltrieren. Akamai behauptet, dass der InfectedSlurs-Code dem des ursprünglichen Mirai-Botnetzes sehr ähnelt.

Die Experten stellten fest, dass die in der Kampagne vom Oktober 2023 eingesetzte Variante über dieselben Funktionen und Speicherorte verfügt wie eine im April 2023 eingesetzte Mirai-Variante. Darüber hinaus nutzten andere Botnetze, darunter die Variante hailBot Mirai, die in genutzte Command and Control (C2)-Infrastruktur diese Kampagne. Die Forscher identifizierten auch Hinweise auf eine C2-Infrastruktur eines gelöschten Telegram-Benutzers im berüchtigten DDoS-Marktplatzkanal DStatCC.

Das SIRT von Akamai arbeitet mit CISA/US-CERT und JPCERT zusammen, um Anbieter über die betroffenen Geräte zu informieren. Um den Anbietern Zeit für die Implementierung von Patches zu geben, werden detaillierte Informationen nicht öffentlich bekannt gegeben. Aufgrund der aktiven Ausnutzung dieser Schwachstellen enthält der Bericht jedoch Snort- und YARA-Regeln, um Verteidiger bei der Identifizierung von Exploit-Versuchen und potenziellen Infektionen in ihren Umgebungen zu unterstützen.