Ботнет InfectedSlurs использует уязвимости RCE нулевого дня

Akamai обнаружила недавно обнаруженный DDoS-ботнет на базе Mirai под названием InfectedSlurs, активно использующий две уязвимости нулевого дня для заражения маршрутизаторов и устройств видеозаписи (NVR).

Хотя исследователи обнаружили ботнет в октябре 2023 года, они подозревают, что его активность началась как минимум с 2022 года. Несмотря на сообщение о двух уязвимостях соответствующим поставщикам, выпуск исправлений запланирован на декабрь 2023 года.

В октябре группа реагирования на данные по безопасности (SIRT) компании Akamai заметила необычную активность, направленную на приманки компании, в частности нацеленную на редко используемый TCP-порт.

Анализ, опубликованный Akamai, показывает, что в конце октября 2023 года было замечено небольшое увеличение активности их приманок, нацеленных на редко используемый TCP-порт. До 9 ноября 2023 года целевые устройства не были идентифицированы, а зондирование проводилось с использованием низкочастотных попыток. Метод включал инициацию аутентификации через POST-запрос с последующим внедрением команд после успешной аутентификации.

Akamai воздержалась от раскрытия имен пострадавших поставщиков. Исследователи обнаружили, что бот также использовал учетные данные администратора по умолчанию для установки вариантов Mirai. Дальнейшее расследование кампании показало, что бот нацелен на маршрутизаторы беспроводной локальной сети, предназначенные для отелей и жилых помещений.

InfectedSlurs на основе JenX

InfectedSlurs основан на варианте вредоносного ПО JenX Mirai, которое в 2018 году использовало сообщество видеоигр Grand Theft Auto для проникновения на устройства. Akamai утверждает, что код InfectedSlurs очень похож на код оригинального ботнета Mirai.

Эксперты отметили, что вариант, использованный в кампании в октябре 2023 года, имеет те же функции и области памяти, что и вариант Mirai, использованный в апреле 2023 года. Кроме того, другие ботнеты, включая вариант hailBot Mirai, использовали инфраструктуру управления и контроля (C2), используемую в эту кампанию. Исследователи также обнаружили ссылки на некоторую инфраструктуру C2 от удаленного пользователя Telegram в пресловутом канале торговой площадки DDoS DStatCC.

SIRT компании Akamai сотрудничает с CISA/US-CERT и JPCERT, чтобы уведомлять поставщиков о затронутых устройствах. Чтобы дать поставщикам время для внедрения исправлений, подробная информация не разглашается публично. Однако из-за активного использования этих уязвимостей в отчет включены правила Snort и YARA, которые помогают защитникам выявлять попытки использования эксплойтов и потенциальные заражения в их средах.