พบ Botnet ตัวใหม่ในชื่อ ‘InfectedSlurs’ ใช้ Zero-Days 2 รายการในการโจมตี NVR และ Routers

พบ Botnet ตัวใหม่ในชื่อ 'InfectedSlurs' ที่ใช้ช่องโหว่ Zero-Days ในการเรียกใช้คำสั่งที่เป็นอันตรายได้จากระยะไกล (RCE) จำนวน 2 รายการ เพื่อแพร่กระจายไปในอุปกรณ์ Routers และ Video Recorder (NVR) หลังจากนั้นก็จะใช้อุปกรณ์ที่ถูกโจมตีได้สำเร็จ ทำการโจมตีแบบ DDoS (distributed denial of service) ไปยังเป้าหมายต่อไป ซึ่งสันนิษฐานว่า Hacker จะให้เช่าอุปกรณ์ดังกล่าวเพื่อสร้างรายได้

'InfectedSlurs' Botnet ถูกพบโดย Akamai ครั้งแรกบน honeypots เมื่อปลายเดือนตุลาคม 2023 แต่มีการพบการโจมตีของ Botnet ดังกล่าว มาก่อนหน้านี้ตั้งแต่ช่วงปลายปี 2022

การค้นพบ และเป้าหมาย

ทีม Security Intelligence Response Team (SIRT) ของ Akamai ได้ค้นพบ Botnet ดังกล่าวครั้งแรกในเดือนตุลาคม 2023 โดยสังเกตเห็นพฤติกรรมที่ผิดปกติบนพอร์ต TCP ที่ไม่ค่อยได้ใช้งาน โดยมุ่งเป้าไปที่ honeypots ของพวกเขา โดยพบการพยายาม authentication ผ่าน POST requests ตามด้วยการพยายามใช้ command injection แบบ low-frequency probes

จากข้อมูลที่ทีม SIRT ได้เก็บไว้ พบว่าอุปกรณ์ที่เป็นเป้าหมายของ Botnet เชื่อมโยงกับผู้ผลิต NVR รายหนึ่ง ซึ่งไม่ได้ระบุชื่อไว้ในรายงานด้วยเหตุผลด้านความปลอดภัย

โดย 'InfectedSlurs' Botnet จะใช้ช่องโหว่ RCE เพื่อเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต รวมถึงยังได้กำหนดเป้าหมายไปยัง wireless LAN router ซึ่งเป็นที่นิยมในหมู่ผู้ใช้ตามบ้าน และโรงแรม โดยใช้ช่อง RCE แบบ Zero-day อีกรายการในการโจมตี

จากการตรวจสอบเพิ่มเติมพบว่า InfectedSlurs ยังมีการใช้ข้อมูล default credentials ที่บันทึกไว้ในคู่มือของผู้จำหน่ายสำหรับผลิตภัณฑ์ NVR หลายรายการเพื่อติดตั้ง Botnet และทำการโจมตี

ทั้งนี้เจ้าของผลิตภัณฑ์ได้แจ้งกับ Akamai ว่ากำลังดำเนินการแก้ไข ซึ่งคาดว่าจะออกแพตซ์อัปเดตได้ในเดือนธันวาคม 2023

รายละเอียดของ InfectedSlurs

'InfectedSlurs' ได้ชื่อดังกล่าวจากการใช้ชื่อใน C2 (command and control) domains และ hardcoded strings ที่ดูคล้ายกับเป็นอีกเวอร์ชันของ JenX Mirai

Akamai รายงานว่า C2 infrastructure ยังเกี่ยวข้องกับการทำงานของ hailBot operations อีกด้วย และจากการวิเคราะห์ข้อมูลของ Akamai แสดงให้เห็นบัญชี Telegram ที่ถูกลบไปแล้วซึ่งเชื่อมโยงกับอีกหลายกลุ่มบน Telegram

นอกจากนี้ ผู้ใช้ยังโพสต์ภาพหน้าจอที่แสดง Botnet เกือบหมื่นตัวใน Telnet protocol และอีก 12,000 ตัวบนอุปกรณ์ types/brands เฉพาะที่เรียกว่า "Vacron" "ntel" และ "UTT-Bots"

นอกจากนี้ Akamai ยังได้วิเคราะห์ตัวอย่าง Botnet ที่พบในเดือนตุลาคม 2023 ซึ่งแสดงการแก้ไขโค้ดเล็กน้อยเมื่อเปรียบเทียบกับ Mirai Botnet ดั้งเดิม ที่ถูกใช้เป็นเครื่องมือในการโจมตีแบบ DDoS ที่รองรับการโจมตีหลายรูปแบบ เช่น SYN, UDP และ HTTP GET request floods

InfectedSlurs Botnet ยังไม่มีกลไกการแฝงตัวบนระบบ (persistence) และเนื่องจากปัจจุบันยังไม่มีตัวอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ การรีบูทอุปกรณ์ Routers และ Video Recorder (NVR) จึงสามารถขัดขวางการโจมตีของ Botnet ได้ชั่วคราว

ที่มา : bleepingcomputer