InfectedSlurs 僵尸网络利用零日 RCE 漏洞

Akamai 发现了一个最近发现的名为 InfectedSlurs 的基于 Mirai 的 DDoS 僵尸网络，该僵尸网络积极利用两个零日漏洞来感染路由器和录像机 (NVR) 设备。

尽管研究人员在 2023 年 10 月检测到该僵尸网络，但他们怀疑其活动至少可以追溯到 2022 年。尽管向各自的供应商报告了这两个漏洞，但修复程序仍计划于 2023 年 12 月发布。

10 月，Akamai 的安全情报响应团队 (SIRT) 观察到针对该公司蜜罐的异常活动，特别是针对不常用的 TCP 端口。

Akamai 发布的分析显示，2023 年 10 月下旬，他们发现针对很少使用的 TCP 端口的蜜罐活动略有增加。截至 2023 年 11 月 9 日，目标设备身份不明，探测涉及低频尝试。该方法涉及通过 POST 请求启动身份验证，然后在身份验证成功后进行命令注入利用。

Akamai 没有透露受影响供应商的名称。研究人员发现，该机器人还利用默认管理员凭据来安装 Mirai 变体。对该活动的进一步调查显示，该僵尸程序的目标是为酒店和住宅应用设计的无线 LAN 路由器。

基于 JenX 的 InfectedSlurs

InfectedSlurs 植根于 JenX Mirai 恶意软件变体，该变体于 2018 年利用 Grand Theft Auto 视频游戏社区渗透设备。 Akamai 声称 InfectedSlurs 代码与原始 Mirai 僵尸网络的代码非常相似。

专家指出，2023 年 10 月活动中使用的变种与 2023 年 4 月使用的 Mirai 变种具有相同的功能和内存位置。此外，包括ailBot Mirai 变种在内的其他僵尸网络利用了 2023 年 10 月活动中使用的命令和控制 (C2) 基础设施。这次活动。研究人员还从臭名昭著的 DDoS 市场频道 DStatCC 中已删除的 Telegram 用户那里发现了对某些 C2 基础设施的引用。

Akamai 的 SIRT 正在与 CISA/US-CERT 和 JPCERT 合作，向供应商通知受影响的设备。为了让供应商有时间实施补丁，详细信息并未公开。然而，由于这些漏洞被积极利用，该报告包含了 Snort 和 YARA 规则，以帮助防御者识别其环境中的利用尝试和潜在感染。