La botnet InfectedSlurs sfrutta le vulnerabilità RCE zero-day
Akamai ha identificato una botnet DDoS basata su Mirai scoperta di recente, denominata InfectedSlurs, che sfrutta attivamente due vulnerabilità zero-day per infettare router e dispositivi di registrazione video (NVR).
Sebbene i ricercatori abbiano rilevato la botnet nell’ottobre del 2023, sospettano che la sua attività risalga almeno al 2022. Nonostante abbiano segnalato le due vulnerabilità ai rispettivi fornitori, le correzioni dovrebbero essere rilasciate nel dicembre 2023.
Nel mese di ottobre, il Security Intelligence Response Team (SIRT) di Akamai ha osservato attività insolite dirette agli honeypot dell'azienda, prendendo di mira in particolare una porta TCP utilizzata di rado.
L'analisi pubblicata da Akamai rivela che alla fine di ottobre 2023 è stato notato un leggero aumento dell'attività sui loro honeypot destinati a una porta TCP utilizzata raramente. Fino al 9 novembre 2023 i dispositivi presi di mira non erano identificati e l’indagine prevedeva tentativi a bassa frequenza. Il metodo prevedeva l'avvio dell'autenticazione tramite una richiesta POST, seguita dallo sfruttamento dell'iniezione di comandi dopo l'autenticazione riuscita.
Akamai si è astenuta dal rivelare i nomi dei fornitori interessati. I ricercatori hanno scoperto che il bot utilizzava anche credenziali di amministratore predefinite per installare le varianti Mirai. Ulteriori indagini sulla campagna hanno rivelato che il bot prende di mira i router LAN wireless progettati per hotel e applicazioni residenziali.
InfectedSlurs Basato su JenX
InfectedSlurs affonda le sue radici nella variante del malware JenX Mirai che, nel 2018, ha utilizzato la community di videogiochi Grand Theft Auto per infiltrarsi nei dispositivi. Akamai afferma che il codice InfectedSlurs somiglia molto a quello della botnet Mirai originale.
Gli esperti hanno notato che la variante utilizzata nella campagna dell'ottobre 2023 condivide le stesse funzioni e posizioni di memoria della variante Mirai utilizzata nell'aprile 2023. Inoltre, altre botnet, inclusa la variante hailBot Mirai, hanno utilizzato l'infrastruttura di comando e controllo (C2) impiegata in questa campagna. I ricercatori hanno anche identificato riferimenti ad alcune infrastrutture C2 di un utente Telegram eliminato nel famigerato canale del mercato DDoS DStatCC.
SIRT di Akamai sta collaborando con CISA/US-CERT e JPCERT per informare i fornitori dei dispositivi interessati. Nel tentativo di concedere ai fornitori il tempo di implementare le patch, le informazioni dettagliate non vengono divulgate pubblicamente. Tuttavia, a causa dello sfruttamento attivo di queste vulnerabilità, il rapporto include le regole Snort e YARA per assistere i difensori nell’identificazione dei tentativi di sfruttamento e delle potenziali infezioni nei loro ambienti.
