Una campaña maliciosa está utilizando dos vulnerabilidades recién descubiertas que permiten la ejecución remota de código (RCE) para conectar Routers y Grabadoras de Vídeo a una red de bots, utilizada para lanzar ataques de denegación de servicio distribuido (DDoS).

Según Akamai:

“la carga maliciosa apunta a dispositivos como enrutadores y grabadoras de vídeo en red (NVR) que utilizan credenciales de administrador predeterminadas. Esta carga instala variantes de Mirai en los dispositivos una vez que tiene éxito en su infiltración.”

Además, se reportó que se encontraron otras muestras de malware relacionadas con la variante hailBot Mirai. La más reciente fue detectada en septiembre de 2023, según un análisis de NSFOCUS.

Estos descubrimientos coinciden con el detalle por parte de Akamai, un shell web (wso-ng), una versión avanzada de WSO (web shell by oRb) que se integra con herramientas legítimas como VirusTotal y SecurityTrails. Cuenta con la capacidad de obtener metadatos de AWS para moverse lateralmente, buscar conexiones potenciales en bases de datos de Redis y posteriormente, obtener acceso no autorizado a datos sensibles.

Detalles de InfectedSlurs

‘InfectedSlurs’, denominado por el uso de lenguaje ofensivo en sus dominios C2 (comando y control) y cadenas codificadas, representa una versión derivada de JenX Mirai Malware. Akamai sostiene que, la infraestructura de sus C2 está considerablemente concentrada y parece estar conectada con las operaciones de hailBot.

El análisis reveló la existencia de una cuenta de Telegram vinculada al grupo (eliminada desde entonces).

Dicho usuario, compartió imágenes que exponen la cantidad de bots que tiene: Telnet (9781 Bots), Vacron (6791 Bots), ntel (4877 Bots) y UTT-Bots (1515 Bots).

Al igual que Mirai, InfectedSlurs, no cuenta con un mecanismo para mantenerse persistente. Ante la ausencia de un parche para los dispositivos afectados, reiniciando NVR’s y Routers interrumpe temporalmente la Botnet.

Fuente:

New botnet malware exploits two zero-days to infect NVRs and routers