„InfectedSlurs“ robotų tinklas išnaudoja nulinės dienos RCE pažeidžiamumą

„Akamai“ nustatė neseniai atrastą „Mirai“ pagrindu sukurtą DDoS botnetą „InfectedSlurs“, kuris aktyviai naudojasi dviem nulinės dienos pažeidžiamumu, kad užkrėstų maršrutizatorius ir vaizdo įrašymo (NVR) įrenginius.

Nors tyrėjai aptiko botnetą 2023 m. spalį, jie įtaria, kad jo veikla prasidėjo mažiausiai 2022 m. Nepaisant to, kad atitinkamiems pardavėjams buvo pranešta apie du pažeidžiamumus, pataisymus planuojama išleisti 2023 m. gruodžio mėn.

Spalio mėnesį „Akamai“ saugumo žvalgybos reagavimo komanda (SIRT) pastebėjo neįprastą veiklą, nukreiptą į bendrovės „medaus puodus“, ypač nukreiptą į retai naudojamą TCP prievadą.

„Akamai“ paskelbta analizė atskleidžia, kad 2023 m. spalio pabaigoje buvo pastebėtas nedidelis jų medaus puodų aktyvumo padidėjimas, nukreiptas į retai naudojamą TCP prievadą. Iki 2023 m. lapkričio 9 d. tiksliniai įrenginiai buvo neatpažinti, o zondavimas buvo susijęs su žemo dažnio bandymais. Šis metodas apėmė autentifikavimo inicijavimą naudojant POST užklausą, o po sėkmingo autentifikavimo - komandų įpurškimo išnaudojimą.

Akamai susilaikė nuo nukentėjusių pardavėjų pavadinimų. Tyrėjai nustatė, kad „Mirai“ variantams įdiegti robotas taip pat naudojo numatytuosius administratoriaus kredencialus. Tolesnis kampanijos tyrimas atskleidė, kad robotas skirtas belaidžiams LAN maršrutizatoriams, skirtiems viešbučiams ir gyvenamosioms patalpoms.

InfectedSlurs, pagrįstos JenX

„InfectedSlurs“ yra sukurtas „JenX Mirai“ kenkėjiškos programos variante, kuris 2018 m. naudojo „Grand Theft Auto“ vaizdo žaidimų bendruomenę, kad įsiskverbtų į įrenginius. „Akamai“ tvirtina, kad „InfectedSlurs“ kodas labai panašus į originalaus „Mirai“ botneto kodą.

Ekspertai pažymėjo, kad 2023 m. spalio mėn. kampanijoje naudotas variantas turi tas pačias funkcijas ir atminties vietas kaip ir 2023 m. balandžio mėn. naudotas Mirai variantas. Be to, kituose robotų tinkluose, įskaitant „hailBot Mirai“ variantą, buvo naudojama komandų ir valdymo (C2) infrastruktūra. šią kampaniją. Tyrėjai taip pat nustatė nuorodas į tam tikrą C2 infrastruktūrą iš pašalinto „Telegram“ vartotojo žinomajame DDoS rinkos kanale DStatCC.

Akamai SIRT bendradarbiauja su CISA/US-CERT ir JPCERT, kad praneštų pardavėjams apie paveiktus įrenginius. Siekiant suteikti pardavėjams laiko įdiegti pataisas, išsami informacija nėra viešai atskleidžiama. Tačiau dėl aktyvaus šių pažeidžiamumų išnaudojimo į ataskaitą įtrauktos Snort ir YARA taisyklės, padedančios gynėjams nustatyti išnaudojimo bandymus ir galimas infekcijas savo aplinkoje.