Egy új Mirai-alapú, “InfectedSlurs” nevű botnet két zero-day távoli kódfuttatási (RCE) sebezhetőséget használ ki routerek és videorögzítő (NVR) eszközök megfertőzésére.
Az “InfectedSlurs” felfedezése az Akamai Security Intelligence Response Team (SIRT)-től származik. Először 2023 októberében fedezték fel a botnetet, amikor a honeypot-jaikon egy ritkán használt TCP porton szokatlan aktivitást észleltek. A botnet kezdeti tevékenysége azonban 2022 végére nyúlik vissza. A kiberbiztonsági vállalat jelentése szerint az érintett gyártók még nem javították ki a két kihasználható hibát, ezért a velük kapcsolatos részleteket egyelőre nem adják ki.
A tevékenység alacsony gyakoriságú szondákra vonatkozott, amelyek POST kéréseken keresztül próbáltak hitelesítést végrehajtani, amit egy parancsinjekciós kísérlet követett. A birtokukban lévő adatok alapján a SIRT elemzői az egész internetre kiterjedő vizsgálatot végeztek, és felfedezték, hogy a célzott eszközök egy bizonyos NVR gyártóhoz kapcsolódnak, amelyet a jelentésben biztonsági okokból nem neveznek meg.
A botnet egy nem dokumentált RCE hibát használ ki az eszközhöz való jogosulatlan hozzáférés megszerzéséhez. A további vizsgálat kimutatta, hogy a rosszindulatú szoftver a gyártó több NVR termék kézikönyvében dokumentált alapértelmezett hitelesítő adatokat is felhasználja egy botkliens telepítéséhez és egyéb rosszindulatú tevékenységek elvégzéséhez.
A kampányt közelebbről megvizsgálva az Akamai felfedezte, hogy a botnet egy otthoni felhasználók és szállodák körében népszerű vezeték nélküli LAN routert is céloz, amely egy másik, zero-day RCE sérülékenységben is szenved. A router meg nem nevezett gyártója azt ígérte, hogy 2023 decemberében kiadja a problémát orvosló biztonsági frissítéseket.
Az Akamai jelentése szerint a C2-infrastruktúrája viszonylag koncentrált, és úgy tűnik, hogy a hailBot műveleteket is támogatja.
Az Akamai szerint a 2023 októberében elfogott botminták elemzése az eredeti Mirai botnethez képest kevés módosítást tartalmaz, tehát egy önterjesztő DDoS eszközről van szó, amely SYN, UDP és HTTP GET kéréseket használó támadásokat támogat.
A Miraihoz hasonlóan az InfectedSlurs sem tartalmaz perzisztencia mechanizmust. Az érintett eszközökhöz nincs javítás, az NVR és a router eszközök újraindítása átmenetileg megzavarhatja a botnetet.
