یک بات نت جدید مبتنی بر Mirai به نام ” InfectedSlurs” از دو آسیب پذیری اجرای کد از راه دور (RCE[1]) به منظور آلوده سازی روترها و دستگاههای ضبط ویدیو (NVR[2]) در یک بات نت انکار سرویس توزیع شده ([3]DDoS) سوء استفاده میکند.
Akamai در توصیهای که بیست و یکم نوامبر ۲۰۲۳ منتشر کرد، اذعان داشت که پیلود مورد نظر، روترها و دستگاههای NVR دارای نام کاربری و گذرواژه پیشفرض admin را مورد هدف قرار میدهد و در صورت موفقیت، انواع بات نت Mirai را بر روی آنها نصب میکند.
جزئیات این آسیب پذیری ها هنوز منتشر نشده است تا به دو فروشنده اجازه داده شود که وصله های امنیتی را برای محصولات خود منتشر کنند. انتظار میرود رفع یکی از آسیب پذیری ها در ماه آینده محقق گردد.
Akamai، بات نت InfectedSlurs را اولین بار در اواخر اکتبر ۲۰۲۳ کشف و آن را در هانی پات های[4] خود مشاهده کرد. با این حال، فعالیت اولیه بات نت به اواخر سال ۲۰۲۲ باز میگردد. عاملان این حملات هنوز شناسایی نشدهاند. این باتنت، یک نوع بدافزار JenX Mirai است که در ژانویه ۲۰۱۸ منتشر شده است.
Akamai همچنین اظهار داشت نمونههای بدافزار دیگری را شناسایی کرده است که به نظر میرسد با نوع hailBot بات نت Mirai مرتبط میباشند. بر اساس تحلیل اخیر NSFOCUS، نوع دوم در سپتامبر ۲۰۲۳ ظاهر شده است. hailBot بر اساس کد منبع Mirai توسعه یافته است و نام آن از اطلاعات رشتهای ” hail china mainland” خروجی پس از اجرا اتخاذ شده است.
این توسعه زمانی صورت میپذیرد که Akamai جزئیات یک shell وب به نام wso-ng را که یک “تکرار پیشرفته” WSO (مخفف “web shell by oRb”) میباشد و با ابزارهای قانونی مانند VirusTotal و SecurityTrails ادغام میگردد را منتشر کرد. این shell ، به صورت مخفیانه اینترفیس لاگین خود را در پشت صفحه خطای 404 در تلاش برای دسترسی به آن پنهان میکند.
یکی از قابلیتهای شناسایی قابلتوجه shell وب شامل بازیابی متادیتای AWS برای حرکت جانبی بعدی و همچنین جستجوی اتصالات بالقوه پایگاهداده Redis به منظور ایجاد دسترسی غیرمجاز به دادههای حساس برنامه است. shell های وب به مهاجمان اجازه میدهند تا به منظور ربودن دادهها، دستوراتی را بر روی سرورها اجرا کنند و یا از سرور به عنوان سکوی راهاندازی برای سایر فعالیتها همچون سرقت گواهی اعتبار، حرکت جانبی[5] در شبکه، استقرار پیلودهای اضافی یا فعالیتهای hands-on-keyboard استفاده نمایند.
یکی دیگر از تاکتیک های رایج مورد استفاده مهاجمان، استفاده از دامنههای در معرض خطر، اما قانونی برای اهداف C2 و توزیع بدافزار است. Infoblox در آگوست ۲۰۲۳، یک حمله گسترده شامل وب سایت های وردپرس هک شده را منتشر کرد که بازدیدکنندگان را به طور مشروط به دامنه های C2 واسط و [6]DDGA هدایت میکردند. این فعالیت به یک عامل تهدید به نام VexTrio نسبت داده شد.
اهمیت تغییر رمز عبور پیش فرض دستگاه را نمی توان نادیده گرفت. تهدیدهایی همچون بات نت و باج افزار به گذرواژههای پیشفرض متکی هستند و این خود اهمیت استفاده از رمزهای عبور قوی و پیچیده را به ما یادآوری میکند.
[1] remote code execution
[2] network video recorder
[3] Distributed Denial-of-Service
[4] honeypot
[5] lateral movement
[6] dictionary domain generation algorithm
