Un nouveau botnet de logiciels malveillants basé sur Mirai, nommé « InfectedSlurs », exploite deux vulnérabilités d’exécution de code à distance (RCE) Zero Day pour infecter les routeurs et les appareils enregistreurs vidéo (NVR).
Le malware détourne les appareils pour les intégrer à son essaim DDoS (déni de service distribué), vraisemblablement loué à des fins lucratives.
La découverte de « InfectedSlurs » vient d’Akamai, qui l’a repéré pour la première fois sur ses honeypots fin octobre 2023. Cependant, l’activité initiale du botnet remonte à fin 2022.
La société de cybersécurité rapporte que les fournisseurs concernés n’ont pas encore corrigé les deux failles exploitées ; par conséquent, les détails à leur sujet ont été réservés pour le moment.
Découverte et cibles
L’équipe SIRT (Security Intelligence Response Team) d’Akamai a découvert le botnet pour la première fois en octobre 2023, remarquant une activité inhabituelle sur un port TCP rarement utilisé ciblant leurs pots de miel.
L’activité concernait des sondes basse fréquence tentant une authentification via des requêtes POST, suivies d’une tentative d’injection de commande.
Sur la base des données qu’ils détenaient, les analystes du SIRT ont effectué une analyse sur Internet et ont découvert que les appareils ciblés étaient liés à un fabricant de NVR spécifique, non nommé dans le rapport pour des raisons de sécurité.
Le botnet exploite une faille RCE non documentée pour obtenir un accès non autorisé à l’appareil.
« Le SIRT a effectué une vérification rapide des CVE connus pour avoir un impact sur les appareils NVR de ce fournisseur et a été surpris de constater que nous étudiions un nouvel exploit zero-day activement exploité dans la nature », lit-on dans le rapport d’Akamai.
« Dans le cadre du processus de divulgation responsable, le fournisseur nous a informé qu’il travaillait sur un correctif qui sera probablement déployé en décembre 2023. »
Un examen plus approfondi a montré que le logiciel malveillant utilise également les informations d’identification par défaut documentées dans les manuels du fournisseur pour plusieurs produits NVR afin d’installer un client robot et d’effectuer d’autres activités malveillantes.
En examinant la campagne de plus près, Akamai a découvert que le botnet cible également un routeur LAN sans fil populaire parmi les particuliers et les hôtels, qui souffre d’une autre faille RCE zero-day exploitée par le malware.
Le fournisseur anonyme du routeur a promis de publier des mises à jour de sécurité qui résolvent le problème en décembre 2023.
Détails sur InfectedSlurs
« InfectedSlurs », nommé ainsi en raison de l’utilisation d’un langage offensant dans les domaines C2 (commande et contrôle) et de chaînes codées en dur, est une variante de JenX Mirai.
Akamai rapporte que son infrastructure C2 est relativement concentrée et semble également prendre en charge les opérations hailBot.
L’analyse a révélé un compte Telegram désormais supprimé lié au cluster sur Telegram.
L’utilisateur a également publié des captures d’écran montrant près de dix mille robots utilisant le protocole Telnet et 12 000 autres sur des types/marques d’appareils spécifiques appelés « Vacron », « ntel » et « UTT-Bots ».
Akamai affirme que l’analyse des échantillons de robots capturés en octobre 2023 montre peu de modifications de code par rapport au botnet Mirai d’origine. Il s’agit donc d’un outil DDoS à propagation automatique prenant en charge les attaques utilisant les inondations de requêtes SYN, UDP et HTTP GET.
Comme Mirai, InfectedSlurs n’inclut pas de mécanisme de persistance. Compte tenu de l’absence de correctif pour les appareils concernés, le redémarrage de vos appareils NVR et rooter devrait temporairement perturber le botnet.