InfectedSlurs Botnet utnytter Zero-Day RCE-sårbarheter
Akamai har identifisert et nylig oppdaget Mirai-basert DDoS-botnett kalt InfectedSlurs, som aktivt utnytter to nulldagssårbarheter for å infisere rutere og videoopptakerenheter (NVR).
Selv om forskerne oppdaget botnettet i oktober 2023, mistenker de at aktiviteten dateres tilbake til minst 2022. Til tross for rapportering av de to sårbarhetene til de respektive leverandørene, er rettelsene planlagt for utgivelse i desember 2023.
I oktober observerte Akamais Security Intelligence Response Team (SIRT) uvanlig aktivitet rettet mot selskapets honningpotter, spesifikt rettet mot en sjelden brukt TCP-port.
Analysen publisert av Akamai avslører at i slutten av oktober 2023 ble det oppdaget en liten økning i aktiviteten på honningpottene deres rettet mot en sjelden brukt TCP-port. Frem til 9. november 2023 var de målrettede enhetene uidentifisert, og sonderingen involverte lavfrekvente forsøk. Metoden innebar å starte autentisering via en POST-forespørsel, etterfulgt av kommandoinjeksjonsutnyttelse ved vellykket autentisering.
Akamai avsto fra å avsløre navnene på berørte leverandører. Forskerne fant at boten også brukte standard administratorlegitimasjon for å installere Mirai-varianter. Ytterligere undersøkelser av kampanjen avslørte at boten retter seg mot trådløse LAN-rutere designet for hoteller og boligapplikasjoner.
InfectedSlurs Basert på JenX
InfectedSlurs er forankret i JenX Mirai malware-varianten, som i 2018 brukte Grand Theft Auto-videospillfellesskapet til å infiltrere enheter. Akamai hevder at InfectedSlurs-koden ligner mye på det originale Mirai-botnettet.
Ekspertene bemerket at varianten som ble brukt i oktober 2023-kampanjen deler de samme funksjonene og minneplasseringene som en Mirai-variant som ble brukt i april 2023. I tillegg brukte andre botnett, inkludert hailBot Mirai-varianten, Command and Control (C2)-infrastrukturen som ble brukt i denne kampanjen. Forskerne identifiserte også referanser til noe C2-infrastruktur fra en slettet Telegram-bruker i den beryktede DDoS-markedskanalen DStatCC.
Akamais SIRT samarbeider med CISA/US-CERT og JPCERT for å varsle leverandører om de berørte enhetene. I et forsøk på å gi leverandører tid til å implementere oppdateringer, blir ikke detaljert informasjon offentliggjort. Men på grunn av aktiv utnyttelse av disse sårbarhetene, inkluderer rapporten Snort- og YARA-regler for å hjelpe forsvarere med å identifisere utnyttelsesforsøk og potensielle infeksjoner i deres miljøer.