Аналитики Akamai предупреждают, что новый Mirai-ботнет InfectedSlurs использует две 0-day уязвимости для удаленного выполнения кода на маршрутизаторах и NVR (Network Video Recorder). Зараженные девайсы становятся частью DDoS-ботнета, который затем сдается в аренду другим злоумышленникам ради получения прибыли.
Хотя исследователи обнаружили InfectedSlurs недавно, после атак на редко используемый TCP-порт honeypot'ов Akamai в конце октября 2023 года, активность ботнета началась еще в конце 2022 года. В замеченных атаках хакеры осуществляли попытки аутентификации через POST-запросы, а за ними следовала попытка инъекции команд.
Специалисты решили провести сканирование интернета и обнаружили, что атакам, в частности, подвергаются устройства конкретного производителя NVR. При более детальном анализе обнаружилось, что ботнет также атакует неназванные беспроводные маршрутизаторы, популярные у домашних пользователей и в отелях, в которых хакеры тоже обнаружили RCE-уязвимость нулевого дня.
Так как пока производители уязвимых девайсов еще не исправили баги, которые используют хакеры, подробности об уязвимостях и названия проблемных гаджетов пока не раскрываются.
Хотя исследователи обнаружили InfectedSlurs недавно, после атак на редко используемый TCP-порт honeypot'ов Akamai в конце октября 2023 года, активность ботнета началась еще в конце 2022 года. В замеченных атаках хакеры осуществляли попытки аутентификации через POST-запросы, а за ними следовала попытка инъекции команд.
Специалисты решили провести сканирование интернета и обнаружили, что атакам, в частности, подвергаются устройства конкретного производителя NVR. При более детальном анализе обнаружилось, что ботнет также атакует неназванные беспроводные маршрутизаторы, популярные у домашних пользователей и в отелях, в которых хакеры тоже обнаружили RCE-уязвимость нулевого дня.
Так как пока производители уязвимых девайсов еще не исправили баги, которые используют хакеры, подробности об уязвимостях и названия проблемных гаджетов пока не раскрываются.
«Мы провели быстрый поиск по известным CVE для NVR-устройств этого производителя и с удивлением обнаружили, что перед нами новый 0-day эксплоит, активно используемый в реальных условиях. В рамках процесса ответственного раскрытия информации об уязвимости, производитель сообщил нам, что уже работает над исправлением, которое, вероятно, будет развернуто в декабре 2023 года», — гласит отчет.
Неназванный производитель маршрутизаторов так же пообещал выпустить обновления, устраняющие уязвимость, в декабре 2023 года.
Кроме того, дальнейшее изучение малвари показало, что для установки бот-клиента и выполнения других вредоносных действий InfectedSlurs использует и стандартные учетные данные, указанные в руководствах для некоторых NVR-продуктов.
По данным Akamai, анализ образцов малвари показал лишь незначительные изменения в коде, по сравнению с оригинальной версией Mirai, поэтому в целом InfectedSlurs представляет собой самораспространяющийся DDoS-инструмент, поддерживающий атаки с использованием SYN-, UDP-флуда, а также HTTP GET-запросов.
Управляющая инфраструктура вредоноса является относительно компактной и, по мнению аналитиков, используется еще и для поддержки операций малвари hailBot.
Исследователи пишут, что обнаружили уже удаленный аккаунт в Telegram, связанный с этим ботнетом. Этот пользователь размещал скриншоты, на которых было видно около 10 000 Telnet-ботов и еще 12 000 ботов, разделенных по определенным типам и маркам устройств, которые были обозначены как Vacron, ntel и UTT-Bots.
Кроме того, дальнейшее изучение малвари показало, что для установки бот-клиента и выполнения других вредоносных действий InfectedSlurs использует и стандартные учетные данные, указанные в руководствах для некоторых NVR-продуктов.
По данным Akamai, анализ образцов малвари показал лишь незначительные изменения в коде, по сравнению с оригинальной версией Mirai, поэтому в целом InfectedSlurs представляет собой самораспространяющийся DDoS-инструмент, поддерживающий атаки с использованием SYN-, UDP-флуда, а также HTTP GET-запросов.
Управляющая инфраструктура вредоноса является относительно компактной и, по мнению аналитиков, используется еще и для поддержки операций малвари hailBot.
Исследователи пишут, что обнаружили уже удаленный аккаунт в Telegram, связанный с этим ботнетом. Этот пользователь размещал скриншоты, на которых было видно около 10 000 Telnet-ботов и еще 12 000 ботов, разделенных по определенным типам и маркам устройств, которые были обозначены как Vacron, ntel и UTT-Bots.
Источник: Хакер