Az InfectedSlurs két zero-day sérülékenységet használ ki

Egy új Mirai-alapú, “InfectedSlurs” nevű botnet két zero-day távoli kódfuttatási (RCE) sebezhetőséget használ ki routerek és videorögzítő (NVR) eszközök megfertőzésére.

Az “InfectedSlurs” felfedezése az Akamai Security Intelligence Response Team (SIRT)-től származik. Először 2023 októberében fedezték fel a botnetet, amikor a honeypot-jaikon egy ritkán használt TCP porton szokatlan aktivitást észleltek. A botnet kezdeti tevékenysége azonban 2022 végére nyúlik vissza. A kiberbiztonsági vállalat jelentése szerint az érintett gyártók még nem javították ki a két kihasználható hibát, ezért a velük kapcsolatos részleteket egyelőre nem adják ki.

A tevékenység alacsony gyakoriságú szondákra vonatkozott, amelyek POST kéréseken keresztül próbáltak hitelesítést végrehajtani, amit egy parancsinjekciós kísérlet követett. A birtokukban lévő adatok alapján a SIRT elemzői az egész internetre kiterjedő vizsgálatot végeztek, és felfedezték, hogy a célzott eszközök egy bizonyos NVR gyártóhoz kapcsolódnak, amelyet a jelentésben biztonsági okokból nem neveznek meg.

A botnet egy nem dokumentált RCE hibát használ ki az eszközhöz való jogosulatlan hozzáférés megszerzéséhez. A további vizsgálat kimutatta, hogy a rosszindulatú szoftver a gyártó több NVR termék kézikönyvében dokumentált alapértelmezett hitelesítő adatokat is felhasználja egy botkliens telepítéséhez és egyéb rosszindulatú tevékenységek elvégzéséhez.

A kampányt közelebbről megvizsgálva az Akamai felfedezte, hogy a botnet egy otthoni felhasználók és szállodák körében népszerű vezeték nélküli LAN routert is céloz, amely egy másik, zero-day RCE sérülékenységben is szenved. A router meg nem nevezett gyártója azt ígérte, hogy 2023 decemberében kiadja a problémát orvosló biztonsági frissítéseket.

Az Akamai jelentése szerint a C2-infrastruktúrája viszonylag koncentrált, és úgy tűnik, hogy a hailBot műveleteket is támogatja.

Az Akamai szerint a 2023 októberében elfogott botminták elemzése az eredeti Mirai botnethez képest kevés módosítást tartalmaz, tehát egy önterjesztő DDoS eszközről van szó, amely SYN, UDP és HTTP GET kéréseket használó támadásokat támogat.

A Miraihoz hasonlóan az InfectedSlurs sem tartalmaz perzisztencia mechanizmust. Az érintett eszközökhöz nincs javítás, az NVR és a router eszközök újraindítása átmenetileg megzavarhatja a botnetet.

 

(www.bleepingcomputer.com)