InfectedSlurs Botnet

最近発見されたマルウェア ボットネット「InfectedSlurs」は、リモート コード実行 (RCE) に関する 2 つのゼロデイ脆弱性を利用して、ルーターやビデオ レコーダー (NVR) デバイスを侵害しています。この脅威的なソフトウェアは、感染したデバイスを制御し、金銭的利益のために貸し出されている可能性が高い DDoS (分散型サービス妨害) の群れにデバイスを組み込みます。アナリストらは、ボットネットの活動の最初の兆候は 2022 年後半まで遡ると示唆していますが、最初に発見されたのは 2023 年 10 月でした。

InfectedSlurs ボットネットはなんとか監視下に留まっていました

アナリストは、POST リクエストを通じて認証を試み、その後にコマンド インジェクションを試みる低頻度プローブに関わる不審な動作を検出しました。研究者らは入手可能なデータを利用して、インターネット全体で包括的なスキャンを実施し、影響を受けたデバイスが特定の NVR メーカーに関連していることを特定しました。その調査結果は、ボットネットが未報告のリモート コード実行 (RCE) の脆弱性を悪用して、デバイスに不正に侵入したことを示しています。

詳しく調査したところ、このマルウェアは、さまざまな NVR 製品のベンダーのマニュアルに記載されているデフォルトの認証情報を利用していることが判明しました。これらの認証情報を利用してボット クライアントをインストールし、他の悪意のあるアクションを実行します。調査をさらに詳しく調べたところ、このボットネットは、家庭ユーザーやホテルの間で広く使用されている無線 LAN ルーターも標的にしていることが判明しました。このルーターは、マルウェアがその活動のために悪用した別のゼロデイ RCE 欠陥の影響を受けやすくなっています。

InfectedSlurs は Mirai よりもわずかな改善を示しています

研究者らによって「InfectedSlurs」と名付けられたこの特定されたマルウェアは、コマンドアンドコントロール（C2、C&C）ドメインとハードコードされた文字列に存在する攻撃的な言葉の利用に基づいてその名前が付けられました。 C2 インフラストラクチャは、hailBot の運用を容易にしているようで、注目に値する集中力を示しています。この脅威は、JenX Mirai の亜種として特定されています。さらに、調査により、クラスターに関連付けられている Telegram アカウントが判明しましたが、このアカウントはその後削除されました。

このアカウントのユーザーはスクリーンショットを共有し、Telnet プロトコルを使用する 1 万台近くのボットと、「Vacron」、「ntel」、「UTT-Bots」などの特定のデバイス タイプ/ブランドをターゲットとする追加の 12,000 台のボットを明らかにしました。

分析の結果、元のMirai Botnetと比較して最小限のコード変更が特定され、InfectedSlurs が自己伝播型 DDoS ツールとして動作することが示されました。 SYN、UDP、HTTP GET リクエスト フラッドを使用した攻撃をサポートします。

Mirai と同様に、InfectedSlurs には永続化メカニズムがありません。影響を受けるデバイスには利用可能なパッチがないため、NVR およびルーター デバイスを再起動することでボットネットを一時的に中断できます。