Az InfectedSlurs botnet a nulladik napi RCE sebezhetőségeit használja ki
Az Akamai azonosított egy nemrégiben felfedezett Mirai-alapú DDoS botnetet InfectedSlurs néven, amely aktívan kihasználja a két nulladik napi sebezhetőséget az útválasztók és a videorögzítő (NVR) eszközök megfertőzésére.
Bár a kutatók 2023 októberében észlelték a botnetet, azt gyanítják, hogy tevékenysége legalább 2022-re nyúlik vissza. Annak ellenére, hogy a két sebezhetőséget jelentették az érintett gyártóknak, a javítások kiadása 2023 decemberében várható.
Októberben az Akamai Security Intelligence Response Team (SIRT) szokatlan tevékenységet figyelt meg, amely a vállalat mézespogácsaira irányult, különösen egy ritkán használt TCP-portra.
Az Akamai által közzétett elemzésből kiderül, hogy 2023 októberének végén enyhe aktivitásnövekedést észleltek a mézesedényeiken, amelyek egy ritkán használt TCP-portot céloztak meg. 2023. november 9-ig a megcélzott eszközök azonosítatlanok voltak, a szondázás alacsony frekvenciájú kísérletekkel járt. A módszer magában foglalta a hitelesítés POST-kéréssel történő kezdeményezését, majd a sikeres hitelesítést követően a parancsinjektálás kihasználását.
Az Akamai elzárkózott attól, hogy nyilvánosságra hozza az érintett eladók nevét. A kutatók azt találták, hogy a bot az alapértelmezett rendszergazdai hitelesítő adatokat is felhasználta a Mirai változatok telepítéséhez. A kampány további vizsgálata során kiderült, hogy a bot a szállodákhoz és lakossági alkalmazásokhoz tervezett vezeték nélküli LAN-routereket célozza meg.
InfectedSlurs JenX alapján
Az InfectedSlurs a JenX Mirai rosszindulatú programváltozatában gyökerezik, amely 2018-ban a Grand Theft Auto videojáték-közösséget használta fel az eszközökre. Az Akamai azt állítja, hogy az InfectedSlurs kód nagyon hasonlít az eredeti Mirai botnet kódjára.
A szakértők megjegyezték, hogy a 2023. októberi kampányban alkalmazott változat ugyanazokat a funkciókat és memóriahelyeket használja, mint a 2023 áprilisában használt Mirai-változat. Ezenkívül más botnetek, köztük a hailBot Mirai variáns, a Command and Control (C2) infrastruktúrát használták. ezt a kampányt. A kutatók a hírhedt DDoS piactéri DStatCC csatornán egy törölt Telegram-felhasználótól származó hivatkozásokat is azonosítottak néhány C2 infrastruktúrára.
Az Akamai SIRT együttműködik a CISA/US-CERT-vel és a JPCERT-vel, hogy értesítse a szállítókat az érintett eszközökről. Annak érdekében, hogy a gyártók időt hagyjanak a javítások telepítésére, a részletes információkat nem hozzák nyilvánosságra. A sérülékenységek aktív kihasználása miatt azonban a jelentés Snort és YARA szabályokat tartalmaz, amelyek segítik a védelmezőket a kizsákmányolási kísérletek és a környezetükben előforduló lehetséges fertőzések azonosításában.