InfectedSlurs Botnet maakt gebruik van zero-day RCE-kwetsbaarheden
Akamai heeft een onlangs ontdekt op Mirai gebaseerd DDoS-botnet genaamd InfectedSlurs geïdentificeerd, waarbij actief gebruik wordt gemaakt van twee zero-day-kwetsbaarheden om routers en videorecorders (NVR) te infecteren.
Hoewel de onderzoekers het botnet in oktober 2023 ontdekten, vermoeden ze dat de activiteit ervan minstens teruggaat tot 2022. Ondanks het melden van de twee kwetsbaarheden aan de respectievelijke leveranciers, staan de oplossingen gepland voor release in december 2023.
In oktober observeerde het Security Intelligence Response Team (SIRT) van Akamai ongebruikelijke activiteiten gericht op de honeypots van het bedrijf, met name gericht op een zelden gebruikte TCP-poort.
Uit de door Akamai gepubliceerde analyse blijkt dat eind oktober 2023 een lichte toename van de activiteit op hun honeypots, gericht op een zelden gebruikte TCP-poort, werd opgemerkt. Tot 9 november 2023 waren de beoogde apparaten niet geïdentificeerd en bestond het onderzoek uit laagfrequente pogingen. De methode omvatte het initiëren van authenticatie via een POST-verzoek, gevolgd door exploitatie van commando-injectie na succesvolle authenticatie.
Akamai heeft de namen van de getroffen leveranciers niet bekendgemaakt. De onderzoekers ontdekten dat de bot ook standaard beheerdersreferenties gebruikte om Mirai-varianten te installeren. Uit verder onderzoek van de campagne bleek dat de bot zich richt op draadloze LAN-routers die zijn ontworpen voor hotels en residentiële toepassingen.
InfectedSlurs Gebaseerd op JenX
InfectedSlurs is geworteld in de JenX Mirai-malwarevariant, die in 2018 de videogamegemeenschap Grand Theft Auto gebruikte om apparaten te infiltreren. Akamai beweert dat de InfectedSlurs-code sterk lijkt op die van het originele Mirai-botnet.
De experts merkten op dat de variant die in de campagne van oktober 2023 werd gebruikt dezelfde functies en geheugenlocaties deelt als een Mirai-variant die in april 2023 werd gebruikt. Bovendien maakten andere botnets, waaronder de hailBot Mirai-variant, gebruik van de Command and Control (C2)-infrastructuur die werd gebruikt in deze campagne. De onderzoekers identificeerden ook verwijzingen naar een C2-infrastructuur van een verwijderde Telegram-gebruiker op het beruchte DDoS-marktplaatskanaal DStatCC.
Akamai's SIRT werkt samen met CISA/US-CERT en JPCERT om leveranciers op de hoogte te stellen van de getroffen apparaten. In een poging leveranciers de tijd te geven patches te implementeren, wordt gedetailleerde informatie niet openbaar gemaakt. Vanwege de actieve exploitatie van deze kwetsbaarheden bevat het rapport echter Snort- en YARA-regels om verdedigers te helpen bij het identificeren van exploitpogingen en potentiële infecties in hun omgeving.
