Το InfectedSlurs Botnet εκμεταλλεύεται ευπάθειες RCE Zero-Day
Η Akamai εντόπισε ένα πρόσφατα ανακαλυφθέν botnet DDoS που βασίζεται στο Mirai που ονομάζεται InfectedSlurs, εκμεταλλευόμενο ενεργά δύο ευπάθειες zero-day για να μολύνει δρομολογητές και συσκευές εγγραφής βίντεο (NVR).
Αν και οι ερευνητές εντόπισαν το botnet τον Οκτώβριο του 2023, υποπτεύονται ότι η δραστηριότητά του χρονολογείται τουλάχιστον από το 2022. Παρά την αναφορά των δύο ευπάθειας στους αντίστοιχους προμηθευτές, οι διορθώσεις έχουν προγραμματιστεί να κυκλοφορήσουν τον Δεκέμβριο του 2023.
Τον Οκτώβριο, η Ομάδα Απάντησης Πληροφοριών Ασφαλείας (SIRT) της Akamai παρατήρησε ασυνήθιστη δραστηριότητα που κατευθύνεται στα honeypot της εταιρείας, στοχεύοντας συγκεκριμένα μια σπάνια χρησιμοποιούμενη θύρα TCP.
Η ανάλυση που δημοσιεύτηκε από την Akamai αποκαλύπτει ότι στα τέλη Οκτωβρίου 2023, παρατηρήθηκε μια ελαφρά αύξηση της δραστηριότητας στα honeypot τους που στοχεύουν μια σπάνια χρησιμοποιούμενη θύρα TCP. Μέχρι τις 9 Νοεμβρίου 2023, οι στοχευόμενες συσκευές ήταν άγνωστες και η διερεύνηση περιελάμβανε προσπάθειες χαμηλής συχνότητας. Η μέθοδος περιλάμβανε την εκκίνηση ελέγχου ταυτότητας μέσω αιτήματος POST, ακολουθούμενη από εκμετάλλευση ένεσης εντολών μετά τον επιτυχή έλεγχο ταυτότητας.
Η Akamai απέφυγε να αποκαλύψει τα ονόματα των επηρεαζόμενων πωλητών. Οι ερευνητές διαπίστωσαν ότι το bot χρησιμοποίησε επίσης προεπιλεγμένα διαπιστευτήρια διαχειριστή για την εγκατάσταση παραλλαγών του Mirai. Περαιτέρω έρευνα για την καμπάνια αποκάλυψε ότι το bot στοχεύει ασύρματους δρομολογητές LAN που έχουν σχεδιαστεί για ξενοδοχεία και οικιακές εφαρμογές.
InfectedSlurs Βασισμένα στο JenX
Το InfectedSlurs έχει τις ρίζες του στην παραλλαγή κακόβουλου λογισμικού JenX Mirai, η οποία, το 2018, χρησιμοποίησε την κοινότητα βιντεοπαιχνιδιών Grand Theft Auto για να διεισδύσει σε συσκευές. Ο Akamai ισχυρίζεται ότι ο κώδικας InfectedSlurs μοιάζει πολύ με αυτόν του αρχικού botnet Mirai.
Οι ειδικοί σημείωσαν ότι η παραλλαγή που χρησιμοποιήθηκε στην καμπάνια του Οκτωβρίου 2023 μοιράζεται τις ίδιες λειτουργίες και θέσεις μνήμης με μια παραλλαγή Mirai που χρησιμοποιήθηκε τον Απρίλιο του 2023. Επιπλέον, άλλα botnets, συμπεριλαμβανομένης της παραλλαγής hailBot Mirai, χρησιμοποίησαν την υποδομή Command and Control (C2) που χρησιμοποιήθηκε στο αυτή την εκστρατεία. Οι ερευνητές εντόπισαν επίσης αναφορές σε κάποια υποδομή C2 από έναν διαγραμμένο χρήστη του Telegram στο διαβόητο κανάλι της αγοράς DDoS DStatCC.
Το SIRT της Akamai συνεργάζεται με τις CISA/US-CERT και JPCERT για να ειδοποιήσει τους προμηθευτές για τις επηρεαζόμενες συσκευές. Σε μια προσπάθεια να δοθεί χρόνος στους προμηθευτές να εφαρμόσουν ενημερώσεις κώδικα, λεπτομερείς πληροφορίες δεν αποκαλύπτονται δημόσια. Ωστόσο, λόγω της ενεργούς εκμετάλλευσης αυτών των τρωτών σημείων, η έκθεση περιλαμβάνει κανόνες Snort και YARA για να βοηθήσουν τους υπερασπιστές να εντοπίσουν απόπειρες εκμετάλλευσης και πιθανές μολύνσεις στο περιβάλλον τους.
