Bezpečnostní výzkumníci odhalili novou variantu nechvalně proslulého botnetu Mirai, označovanou jako Nexcorium, která aktivně zneužívá zranitelnost CVE-2024-3721 v digitálních videorekordérech (DVR) značky TBK. Kompromitovaná zařízení jsou následně zapojována do rozsáhlé botnetové sítě určené k provádění distribuovaných útoků odepření služby (DDoS).
CVE-2024-3721
Jedná se o zranitelnost typu command injection, která útočníkům umožňuje vzdáleně vykonat libovolný kód na zařízeních TBK DVR. Zranitelnost postihuje modely TBK DVR-4104 a DVR-4216, přičemž odhaduje se, že po celém světě je vystaveno internetu několik tisíc těchto zařízení.
Útočníci odesílají speciálně upravené HTTP POST požadavky na zranitelný endpoint, čímž získávají možnost spouštět shellové příkazy s oprávněními roota. Po úspěšné exploataci stahují a spouštějí malware Nexcorium, který zařízení začlení do botnetu.
Charakteristika malwaru Nexcorium
Nexcorium vychází z uniklého zdrojového kódu původního botnetu Mirai, avšak obsahuje několik zásadních vylepšení:
- Rozšířená škála exploitů pro různé IoT zařízení
- Vylepšené techniky vyhýbání se detekci, včetně obfuskace řetězců
- Modulární architektura umožňující snadné přidávání nových modulů
- Podpora více DDoS vektorů, včetně útoků na aplikační vrstvě
„Nexcorium představuje pokračující evoluci ekosystému Mirai, kde útočníci kontinuálně adaptují starý kód na nové zranitelnosti,“ uvedli výzkumníci. „Schopnost rychle integrovat nové exploity činí tyto botnety obzvláště nebezpečnými.“
Podle telemetrie výzkumníků jsou nejvíce zasaženými oblastmi Čína, Indie, Egypt, Ukrajina, Rusko, Turecko a Brazílie. Celkově bylo identifikováno přes 50 000 potenciálně zranitelných zařízení vystavených internetu.
Způsob útoku
Útočný řetězec probíhá v následujících fázích:
1. Skenování internetu za účelem identifikace zranitelných TBK DVR zařízení
2. Exploitace CVE-2024-3721 prostřednictvím malicious HTTP požadavku
3. Stažení a spuštění payloadu Nexcorium
4. Navázání spojení s C2 serverem (command-and-control)
5. Přijímání příkazů k provádění DDoS útoků
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
