Botnet InfectedSlurs explora vulnerabilidades de RCE de dia zero

A Akamai identificou um botnet DDoS baseado em Mirai recentemente descoberto chamado InfectedSlurs, aproveitando ativamente duas vulnerabilidades de dia zero para infectar roteadores e dispositivos de gravador de vídeo (NVR).

Embora os investigadores tenham detetado a botnet em outubro de 2023, suspeitam que a sua atividade remonta pelo menos a 2022. Apesar de reportarem as duas vulnerabilidades aos respetivos fornecedores, as correções estão programadas para lançamento em dezembro de 2023.

Em outubro, a Equipe de Resposta de Inteligência de Segurança (SIRT) da Akamai observou atividades incomuns direcionadas aos honeypots da empresa, visando especificamente uma porta TCP usada com pouca frequência.

A análise publicada pela Akamai revela que, no final de outubro de 2023, foi detectado um ligeiro aumento na atividade em seus honeypots visando uma porta TCP raramente utilizada. Até 9 de novembro de 2023, os dispositivos visados não eram identificados e a investigação envolvia tentativas de baixa frequência. O método envolvia iniciar a autenticação por meio de uma solicitação POST, seguida pela exploração de injeção de comando após autenticação bem-sucedida.

A Akamai se absteve de divulgar os nomes dos fornecedores afetados. Os pesquisadores descobriram que o bot também utilizou credenciais de administrador padrão para instalar variantes do Mirai. Uma investigação mais aprofundada da campanha revelou que o bot tem como alvo roteadores LAN sem fio projetados para hotéis e aplicações residenciais.

InfectedSlurs baseados em JenX

O InfectedSlurs está enraizado na variante de malware JenX Mirai, que, em 2018, usou a comunidade de videogames Grand Theft Auto para se infiltrar em dispositivos. Akamai afirma que o código do InfectedSlurs se assemelha muito ao do botnet Mirai original.

Os especialistas observaram que a variante empregada na campanha de outubro de 2023 compartilha as mesmas funções e locais de memória que uma variante Mirai usada em abril de 2023. Além disso, outras botnets, incluindo a variante hailBot Mirai, utilizaram a infraestrutura de Comando e Controle (C2) empregada em esta campanha. Os pesquisadores também identificaram referências a alguma infraestrutura C2 de um usuário excluído do Telegram no notório canal de mercado DDoS DStatCC.

O SIRT da Akamai está colaborando com CISA/US-CERT e JPCERT para notificar os fornecedores sobre os dispositivos afetados. Em um esforço para dar tempo aos fornecedores para implementar patches, informações detalhadas não estão sendo divulgadas publicamente. No entanto, devido à exploração activa destas vulnerabilidades, o relatório inclui regras Snort e YARA para ajudar os defensores a identificar tentativas de exploração e potenciais infecções nos seus ambientes.