InfectedSlurs ボットネットがゼロデイ RCE 脆弱性を悪用
Akamai は、最近発見された、InfectedSlurs と呼ばれる Mirai ベースの DDoS ボットネットを特定しました。このボットネットは、2 つのゼロデイ脆弱性を積極的に利用して、ルーターやビデオ レコーダー (NVR) デバイスに感染します。
研究者らはこのボットネットを 2023 年 10 月に検出しましたが、その活動は少なくとも 2022 年に遡ると考えています。 2 つの脆弱性をそれぞれのベンダーに報告したにもかかわらず、修正は 2023 年 12 月にリリースされる予定です。
10 月、Akamai のセキュリティ インテリジェンス レスポンス チーム (SIRT) は、同社のハニーポットに向けられた異常なアクティビティ、特に使用頻度の低い TCP ポートをターゲットにした異常なアクティビティを観察しました。
Akamai が公開した分析によると、2023 年 10 月下旬に、めったに使用されていない TCP ポートをターゲットとしたハニーポット上のアクティビティのわずかな増加が確認されました。 2023 年 11 月 9 日まで、標的となったデバイスは特定されず、調査には低頻度の試みが含まれていました。この方法では、POST リクエストによって認証を開始し、その後、認証が成功したときにコマンド インジェクションを悪用します。
アカマイは影響を受けたベンダー名を公表することを控えた。研究者らは、ボットがデフォルトの管理者資格情報を利用して Mirai の亜種をインストールしていることも発見しました。このキャンペーンをさらに調査した結果、ボットはホテルや住宅用途向けに設計された無線 LAN ルーターをターゲットにしていることが判明しました。
JenX に基づく InfectedSlurs
InfectedSlurs は、2018 年にグランド セフト オート ビデオゲーム コミュニティを利用してデバイスに侵入した JenX Mirai マルウェア亜種をルーツとしています。 Akamai は、InfectedSlurs のコードはオリジナルの Mirai ボットネットのコードによく似ていると主張しています。
専門家は、2023 年 10 月のキャンペーンで使用された亜種は、2023 年 4 月に使用された Mirai の亜種と同じ機能とメモリの場所を共有していると指摘しました。さらに、hailBot Mirai の亜種を含む他のボットネットは、攻撃で使用されたコマンド アンド コントロール (C2) インフラストラクチャを利用していました。このキャンペーン。研究者らはまた、悪名高い DDoS マーケットプレイス チャネル DStatCC で削除された Telegram ユーザーからの一部の C2 インフラストラクチャへの参照も特定しました。
Akamai の SIRT は、CISA/US-CERT および JPCERT と協力して、影響を受けるデバイスをベンダーに通知しています。ベンダーがパッチを実装する時間を確保するため、詳細な情報は公開されていません。ただし、これらの脆弱性は積極的に悪用されているため、レポートには、防御者が環境内の悪用の試みと潜在的な感染を特定するのに役立つ Snort および YARA のルールが含まれています。