Um novo botnet de malware baseado no Mirai, chamado 'InfectedSlurs', tem explorado duas vulnerabilidades de execução remota de código (RCE, do inglês Remote Code Execution) de dia zero para infectar roteadores e dispositivos gravadores de vídeo (NVR, do inglês Network Video Recorder).
O malware sequestra os dispositivos para torná-los parte de seu enxame de DDoS (negação de serviço distribuída), provavelmente locado para lucro.
A descoberta do 'InfectedSlurs' vem da Akamai, que o notou pela primeira vez em suas honeypots no final de outubro de 2023.
Porém, a atividade inicial do botnet remonta ao final de 2022.
A empresa de segurança cibernética informa que os fornecedores impactados ainda não corrigiram as duas falhas exploradas, portanto, detalhes sobre elas foram reservados por enquanto.
A Equipe de Resposta de Inteligência de Segurança (SIRT, do inglês Security Intelligence Response Team) da Akamai descobriu o botnet em outubro de 2023, notando atividade incomum em uma porta TCP raramente usada direcionada às honeypots.
A atividade envolve sondas de baixa frequência tentando autenticação via solicitações POST, seguidas por uma tentativa de injeção de comando.
Com base nos dados que tinham, os analistas do SIRT conduziram um escaneamento de todo o mundo na internet e descobriram que os dispositivos visados estavam vinculados a um fabricante específico de NVR, não nomeado no relatório por questões de segurança.
O botnet aproveita uma falha RCE não documentada para obter acesso não autorizado ao dispositivo.
"O SIRT fez uma rápida checagem para os CVEs conhecidos para impactar os dispositivos NVR deste fornecedor e ficou surpreso ao descobrir que estávamos olhando para um novo exploit de dia zero sendo ativamente explorado no campo", lê-se no relatório da Akamai.
"Através do processo de divulgação responsável, o fornecedor nos comunicou que está trabalhando em uma correção que possivelmente será implantada em dezembro de 2023."
Exames adicionais mostraram que o malware também usa credenciais padrão indicadas nos manuais do fornecedor para vários produtos NVR para instalar um cliente bot e realizar outras atividades maliciosas.
Analisando mais a fundo a campanha, a Akamai descobriu que o botnet também visa um roteador wireless LAN popular entre usuários residenciais e hotéis, que sofre de outra falha RCE de dia zero explorada pelo malware.
O fornecedor não nomeado do dispositivo roteador prometeu disponibilizar atualizações de segurança que resolvam o problema em dezembro de 2023.
'InfectedSlurs', nomeado assim devido ao uso de linguagem ofensiva nos domínios de C2 (comando e controle) e nas sequências codificadas, trata-se de uma variante de JenX Mirai.
A Akamai relata que sua infraestrutura C2 é relativamente concentrada e também parece dar suporte às operações hailBot.
A análise revelou uma conta no Telegram atualmente deletada vinculada ao cluster no Telegram.
O usuário também postou capturas de tela mostrando quase dez mil bots no protocolo Telnet e outros 12 mil em tipos/marcas específicos de dispositivos, chamados de "Vacron", "ntel" e "UTT-Bots".
A Akamai afirma que a análise das amostras de bot capturadas em outubro de 2023 mostra pequenas modificações de código em comparação com a botnet original Mirai, por ser uma ferramenta DDoS auto-propagável que apoia ataques usando SYN, UDP e inundações de solicitações HTTP GET.
Como o Mirai, o InfectedSlurs não inclui um mecanismo de persistência.
Dada a falta de uma correção para os dispositivos afetados, reiniciar seus dispositivos NVR e roteadores deve interromper temporariamente o botnet.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...