Botnet InfectedSlurs wykorzystuje luki w zabezpieczeniach RCE typu Zero-Day

Akamai zidentyfikował niedawno odkryty botnet DDoS oparty na Mirai o nazwie InfectedSlurs, aktywnie wykorzystujący dwie luki dnia zerowego w celu infekowania routerów i urządzeń do nagrywania wideo (NVR).

Chociaż badacze wykryli botnet w październiku 2023 r., podejrzewają, że jego aktywność sięga co najmniej 2022 r. Pomimo zgłoszenia obu luk odpowiednim dostawcom, publikację poprawek zaplanowano na grudzień 2023 r.

W październiku zespół reagowania na ataki wywiadowcze (SIRT) firmy Akamai zaobserwował nietypową aktywność skierowaną na Honeypoty firmy, w szczególności na rzadko używany port TCP.

Z analizy opublikowanej przez Akamai wynika, że pod koniec października 2023 r. wykryto niewielki wzrost aktywności ich Honeypotów atakujących rzadko używany port TCP. Do 9 listopada 2023 r. docelowe urządzenia pozostawały niezidentyfikowane, a sondowanie obejmowało próby o niskiej częstotliwości. Metoda polegała na inicjowaniu uwierzytelniania za pomocą żądania POST, a następnie po pomyślnym uwierzytelnieniu wykorzystywano wstrzyknięcie polecenia.

Akamai powstrzymał się od ujawnienia nazw dostawców, których to dotyczy. Badacze odkryli, że bot wykorzystywał również domyślne dane uwierzytelniające administratora do instalowania wariantów Mirai. Dalsze badanie kampanii ujawniło, że bot atakuje routery bezprzewodowej sieci LAN przeznaczone do hoteli i zastosowań mieszkaniowych.

InfectedSlurs oparty na JenX

InfectedSlurs opiera się na wariancie złośliwego oprogramowania JenX Mirai, który w 2018 roku wykorzystywał społeczność gier wideo Grand Theft Auto do infiltrowania urządzeń. Akamai twierdzi, że kod InfectedSlurs bardzo przypomina kod oryginalnego botnetu Mirai.

Eksperci zauważyli, że wariant wykorzystany w kampanii z października 2023 r. ma te same funkcje i lokalizacje pamięci, co wariant Mirai zastosowany w kwietniu 2023 r. Ponadto inne botnety, w tym wariant gradBot Mirai, wykorzystywały infrastrukturę dowodzenia i kontroli (C2) zastosowaną w tę kampanię. Badacze zidentyfikowali także odniesienia do infrastruktury C2 pochodzące od usuniętego użytkownika Telegramu na cieszącym się złą sławą kanale handlowym DDoS DStatCC.

SIRT firmy Akamai współpracuje z CISA/US-CERT i JPCERT, aby powiadamiać dostawców o urządzeniach, których dotyczy problem. Aby dać dostawcom czas na wdrożenie poprawek, szczegółowe informacje nie są ujawniane publicznie. Jednakże ze względu na aktywne wykorzystywanie tych luk w raporcie zawarto reguły Snort i YARA, które mają pomóc obrońcom w identyfikowaniu prób exploitów i potencjalnych infekcji w ich środowiskach.