Le réseau de zombies Mirai exploite des bogues de type "jour zéro" pour mener des attaques DDoS
InfectedSlurs, un botnet réseau de zombies Mirai a exploité deux programmes zero-day d'exécution de code à distance. d'exécution de code à distance (RCE) zero-day. Le logiciel malveillant cible les routeurs et les enregistreurs vidéo (NVR), dans le but de les intégrer à son essaim de déni de service distribué (DDoS). Bien que le botnet ait été découvert en octobre 2023on pense que ses activités initiales remontent à la seconde moitié de 2022. Dans ce blog, nous verrons comment le botnet a été découvert, comment il fonctionne, et plus encore.
Détails de la détection du botnet Mirai
Le botnet a été découvert lorsque l'équipe SIRT (Security Intelligence Response Team) d'Akamai a remarqué une activité malveillante concernant les pots de miel de l'entreprise. À l'heure actuelle, on pense que l'activité malveillante a été initiée pour cibler un port TCP rarement utilisé. Les équipes SIRT ont remarqué des fluctuations en ce qui concerne la fréquence des exploits de type "zero-day.
Une analyse des vulnérabilités vulnérabilités du jour zéropubliée par Akamai, "L'activité a commencé par une petite poussée, culminant à 20 tentatives par jour, puis s'est réduite à une moyenne de deux à trois tentatives par jour, certains jours étant totalement dépourvus de tentatives." Il convient de mentionner que les dispositifs vulnérables qui ont été la proie du botnet étaient inconnus jusqu'au 9 novembre 2023.
Au départ, les sondes étaient peu fréquentes et tentaient de s'authentifier à l'aide d'une requête POST. Après avoir obtenu l'accès, le botnet a tenté une exploitation par injection de commande. Les chercheurs ont également déterminé que le botnet utilisait des identifiants d'administrateur par défaut pour installer des variantes de Mirai.
Une observation plus poussée a permis de constater que les routeurs LAN sans fil, conçus pour les hôtels et les habitations, étaient également visés par le botnet botnet Mirai. Commentant la faille RCE exploitée pour un accès non autorisé, Akamai a déclaré : " Le SIRT a effectué une vérification rapide des CVE connus pour avoir un impact sur ce fournisseur : Le SIRT a effectué une vérification rapide des CVE connus pour avoir un impact sur les périphériques NVR de ce fournisseur et a été surpris de constater que nous étions en présence d'un nouvel exploit de type " zero-day " activement exploité dans la nature ".
InfectedSlurs, JenX et hailBot
Le botnet InfectedSlurs est soupçonné d'être tricoté avec d'autres menaces de cybersécurité telles que JenX et hailBot. Le botnet tire son nom de l'utilisation d'un langage racial et offensant dans les serveurs et les chaînes de commande et de contrôle (C2). Pour l'instant, les chercheurs pensent que ce botnet est une variante du malware JenX Mira qui a émergé en 2018.
Bien que le botnet utilise principalement la variante JenX, certains échantillons semblent également liés à la variante hailBot. Les personnes souhaitant mettre en place des mesures de sécurité réseau doivent savoir que le nom de fichier JenX est "jxkl". "jxkl et que le nom de fichier supposé de hailBot contiendrait "skid". "skid".
Un autre identifiant unique pour hailBot est la chaîne de caractères de la console "hail china mainland" qui devient évidente pendant l'exécution. C'est ce qui ressort d'un échantillon provenant du serveur C2 "5.181.80[.]120" et qui appelait le nom de domaine "husd8uasd9[.]online".
D'autres mentions d'une infrastructure C2 ont également été découvertes chez des utilisateurs de Telegram supprimés dans une place de marché DDoS nommée "DStatCC". En outre, les attaques du botnet Mirai initial et de celui utilisé en octobre semblent assez similaires, car elles utilisent les mêmes fonctions et ciblent les mêmes emplacements de mémoire.
Stratégies d'atténuation des cyberattaques
Avant d'aborder la question de la la prévention des vulnérabilités du réseau de zombiesAvant d'aborder la prévention des vulnérabilités du botnet, sachez que l'équipe du SIRT travaille avec différentes agences de cybersécurité pour notifier les fournisseurs touchés par le botnet. Les détails concernant les fournisseurs n'ont pas été divulgués, car cela pourrait augmenter le nombre d'exploits.
Sécurité de l'internet des objets (IoT) les mesures de prévention de ces attaques varient selon qu'il s'agit d'infections par InfectedSlur ou d'attaques DDoS.
- Pour les infections par InfectedSlur :
- Vérifier et remplacer les informations d'identification par défaut.
- Isoler les dispositifs vulnérables et rechercher une compromission.
- Pour Prévention des attaques DDoS:
- Mettre en œuvre Recommandations de la CISA.
- Examiner les sous-réseaux et les espaces IP.
- Développer des contrôles de sécurité DDoS.
- Tester et supprimer les possibilités de mouvements latéraux.
Conclusion
Le botnet InfectedSlur exploite deux vulnérabilités RCE inconnues pour cibler les appareils NVR. Bien que le logiciel malveillant vienne d'être découvert, ses activités remontent à 2022. Le botnet est tricoté avec des variantes antérieures, dont JenX et hailBot. Aucun correctif n'a été déployé à ce jour. mesures de cybersécurité proactives peuvent contribuer à améliorer la posture de sécurité et à se prémunir contre les acteurs de la menace.
La source de ce document comprend des articles dans The Hacker News et Bleeping Computer.