بات نت جدیدی مبتنی بر Mirai بنام InfectedSlurs از دو آسیب پذیری Zero-day اجرای کد از راه دور که روترها و دستگاههای ضبط ویدیو را تحت تاثیر قرار میدهد، بهره برداری می کند.
این بدافزار دستگاهها را ربوده و آنها را تبدیل به بخشی از گروه DDoS خود کرده و احتمالا برای سود بیشتر در اختیار مهاجمان دیگر نیز قرار میدهد. اولین بار این بات نت توسط Akamai در اکتبر 2023 شناسایی شد. اما فعالیت های این بات نت به اواخر سال 2022 بازمیگردد.
به گفته شرکتهای امنیتی، وندورهایی که تحت تاثیر این آسیب پذیری هستند هنوز برای رفع این آسیب پذیری ها آپدیتی منتشر نکرده اند.
شناسایی و اهداف
تیم Akamai اولین بار در اکتبر 2023 این بات نت را پیرو فعالیت های غیرعادی روی یک پورت TCP که به ندرت استفاده می شد، شناسایی کرد. به دلیل مسائل امنیتی هنوز نام وندورهای دستگاههای تحت تاثیر این آسیب پذیری ها اعلام نشده است و وندور مربوطه براساس هشداری که از شرکتهای امنیتی دریافت کرده است در حال کار بر روی این آسیب پذیری ها و رفع آنهاست.
پیرو بررسی های بیشتر مشخص شده است که این بات نت از اعتبارنامه ها و مجوزهای پیش فرض مستند شده در راهنمای این دستگاهها برای نصب ربات و فعالیت های مخرب خود استفاده می کند. با بررسی دقیق تر این کمپین محققین به این نتیجه رسیدند که برخی از روترهای LAN نیز به دلیل داشتن آسیب پذیری Zero-day توسط بات نت مذکور اکسپلویت شده اند. وندور مربوط به این روترها نیز اعلام کرده تا دسامبر 2023 آپدیتی برای رفع این آسیب پذیری منتشر خواهد کرد.
جزییات بات نت InfectedSlurs
این بات نت نوعی از JenX Mirai و زیر ساخت C2 نسبتا متمرکز بوده و به نظر می رسد از عملیات hailBot پشتیبانی می کند. تجزیه و تحلیل نمونه های رباتی که در اکتبر 2023 کشف شده تغییرات کمی در کد را در مقایسه با بات نت اصلی Mirai نشان میدهد و مشخص شده که این بات نت یک ابزار DDoS خود انتشار بوده و از حملات درخواست انبوه UDP، SYN، HTTP Get پشتیبانی می کند.
مانند Mirai، بات نت InfectedSlurs دارای مکانیزم پایداری نیست. با توجه به عدم انتشار وصله امنیتی، راه اندازی مجدد دستگاههای روتر و NVR می تواند موقتا فعالیت این بات نت را مختل کند.
منبع: www.bleepingcomputer.com
