InfectedSlurs Botnet utnyttjar Zero-Day RCE-sårbarheter

Akamai har identifierat ett nyligen upptäckt Mirai-baserat DDoS-botnät som heter InfectedSlurs, som aktivt utnyttjar två nolldagars sårbarheter för att infektera routrar och videobandspelare (NVR).

Även om forskarna upptäckte botnätet i oktober 2023, misstänker de att dess aktivitet går tillbaka till åtminstone 2022. Trots att de två sårbarheterna rapporterats till respektive leverantör är korrigeringarna planerade att släppas i december 2023.

I oktober observerade Akamais Security Intelligence Response Team (SIRT) ovanlig aktivitet riktad mot företagets honeypots, specifikt inriktad på en sällan använd TCP-port.

Analysen publicerad av Akamai avslöjar att i slutet av oktober 2023 sågs en liten ökning av aktiviteten på deras honungskrukor riktade mot en sällan använd TCP-port. Fram till den 9 november 2023 var de riktade enheterna oidentifierade och sonderingen involverade lågfrekventa försök. Metoden involverade initiering av autentisering via en POST-begäran, följt av kommandoinjektion vid framgångsrik autentisering.

Akamai avstod från att avslöja namnen på berörda leverantörer. Forskarna fann att boten också använde standardadministratörsuppgifter för att installera Mirai-varianter. Ytterligare undersökningar av kampanjen avslöjade att boten riktar sig mot trådlösa LAN-routrar designade för hotell- och bostadsapplikationer.

InfectedSlurs Baserat på JenX

InfectedSlurs har sina rötter i JenX Mirai malware-varianten, som 2018 använde Grand Theft Auto-videospelscommunityt för att infiltrera enheter. Akamai hävdar att InfectedSlurs-koden liknar den för det ursprungliga Mirai-botnätet.

Experterna noterade att varianten som användes i kampanjen i oktober 2023 delar samma funktioner och minnesplatser som en Mirai-variant som användes i april 2023. Dessutom använde andra botnät, inklusive hailBot Mirai-varianten, infrastrukturen för kommando och kontroll (C2) som användes i denna kampanj. Forskarna identifierade också referenser till viss C2-infrastruktur från en raderad Telegram-användare i den ökända DDoS-marknadskanalen DStatCC.

Akamais SIRT samarbetar med CISA/US-CERT och JPCERT för att meddela leverantörer om de berörda enheterna. I ett försök att ge leverantörer tid att implementera patchar, avslöjas inte detaljerad information offentligt. Men på grund av det aktiva utnyttjandet av dessa sårbarheter innehåller rapporten Snort- och YARA-regler för att hjälpa försvarare att identifiera utnyttjandeförsök och potentiella infektioner i deras miljöer.