La botnet InfectedSlurs explota las vulnerabilidades de RCE de día cero

Akamai ha identificado una botnet DDoS basada en Mirai recientemente descubierta llamada InfectedSlurs, que aprovecha activamente dos vulnerabilidades de día cero para infectar enrutadores y dispositivos de grabación de vídeo (NVR).

Aunque los investigadores detectaron la botnet en octubre de 2023, sospechan que su actividad se remonta al menos a 2022. A pesar de informar de las dos vulnerabilidades a los respectivos proveedores, el lanzamiento de las correcciones está previsto para diciembre de 2023.

En octubre, el Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai observó una actividad inusual dirigida a los honeypots de la empresa, específicamente dirigida a un puerto TCP utilizado con poca frecuencia.

El análisis publicado por Akamai revela que a finales de octubre de 2023, se detectó un ligero aumento en la actividad en sus honeypots dirigidos a un puerto TCP raramente utilizado. Hasta el 9 de noviembre de 2023, los dispositivos objetivo no estaban identificados y la investigación implicó intentos de baja frecuencia. El método implicaba iniciar la autenticación mediante una solicitud POST, seguida de la explotación de la inyección de comandos tras una autenticación exitosa.

Akamai se abstuvo de revelar los nombres de los proveedores afectados. Los investigadores descubrieron que el bot también utilizaba credenciales de administrador predeterminadas para instalar variantes de Mirai. Una investigación más profunda sobre la campaña reveló que el bot apunta a enrutadores de LAN inalámbrica diseñados para hoteles y aplicaciones residenciales.

InfectedInsultos basados en JenX

InfectedSlurs tiene su origen en la variante de malware JenX Mirai, que, en 2018, utilizó la comunidad de videojuegos Grand Theft Auto para infiltrarse en dispositivos. Akamai afirma que el código de InfectedSlurs se parece mucho al de la botnet Mirai original.

Los expertos señalaron que la variante empleada en la campaña de octubre de 2023 comparte las mismas funciones y ubicaciones de memoria que una variante de Mirai utilizada en abril de 2023. Además, otras botnets, incluida la variante hailBot Mirai, utilizaron la infraestructura de Comando y Control (C2) empleada en esta campaña. Los investigadores también identificaron referencias a alguna infraestructura C2 de un usuario eliminado de Telegram en el notorio canal de mercado DDoS DStatCC.

SIRT de Akamai está colaborando con CISA/US-CERT y JPCERT para notificar a los proveedores sobre los dispositivos afectados. En un esfuerzo por dar tiempo a los proveedores para implementar parches, no se divulga públicamente información detallada. Sin embargo, debido a la explotación activa de estas vulnerabilidades, el informe incluye reglas de Snort y YARA para ayudar a los defensores a identificar intentos de explotación y posibles infecciones en sus entornos.