Una nuova botnet di malware basata su Mirai, detta InfectedSlurs, sfrutta due vulnerabilità zero-day in dispositivi di registrazione video (NVR) e router. L’obiettivo è  eseguire codice remoto (RCE) per infettarli. 

Il malware dirotta i dispositivi per renderli parte del suo sciame DDoS (distributed denial of service), presumibilmente affittato a scopo di lucro.

“La scoperta degli attacchi è interessante per due aspetti principali”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco quali e come mitigare il rischio.

Zero-day in router e registratori video: la botnet che li infetta

La scoperta di InfectedSlurs proviene da Akamai. Il Security Intelligence Response Team (SIRT) l’ha individuata per la prima volta nelle sue honeypots a fine ottobre 2023, osservando un’attività insolita su una porta TCP raramente utilizzata e rivolta alle sue honeypots. Tuttavia, l’attività iniziale della botnet risale alla fine dell’anno scorso.

La scoperta degli attacchi interessa “in primis per la longevità di una di una botnet come Mirai che, sin dalla sua apparizione nello scenario delle minacce nel 2016, ha dimostrato tutta la sua efficacia”, spiega Paganini.

Infatti “la maggioranza delle principali botnet individuate negli ultimi sette anni è basata proprio sul codice originario di Mirai”, aggiunge Paganini, “e ciò possibile grazie anche al leak del codice sorgente avvenuto sempre nel 2016. In secondo luogo, è interessante osservare la complessità degli attacchi”.

I dettagli

L’attività riguardava sonde a bassa frequenza che tentavano l’autenticazione tramite richieste POST, seguite da un tentativo di iniezione di comandi.

Sulla base dei dati in loro possesso, gli analisti del SIRT hanno condotto una scansione su Internet e hanno scoperto che i dispositivi presi di mira erano collegati a uno specifico produttore di NVR, non nominato nel rapporto per motivi di sicurezza.

La botnet sfrutta una falla RCE non documentata per ottenere un accesso non autorizzato al dispositivo.

“Il SIRT ha effettuato un rapido controllo dei CVE noti per l’impatto sui dispositivi NVR di questo fornitore ed è rimasto sorpreso nel constatare che ci trovavamo di fronte a un nuovo exploit zero-day sfruttato attivamente in natura”, si legge nel rapporto di Akamai.

Da un ulteriore esame è emerso che il malware utilizza anche le credenziali predefinite documentate nei manuali del fornitore per diversi prodotti NVR per installare un client bot ed eseguire altre attività dannose.

“Gli attori malevoli dietro gli attacchi”, conclude Paganini, “hanno utilizzato ben due falle zero-day per infettare il maggior numero di dispositivi possibili senza essere individuati. L’utilizzo di zero-day exploit non è comune, nella maggior parte dei casi, infatti, i gruppi criminali integrano all’interno dei loro bot exploit per falle note al tempo dell’attacco“.

Anche il router LAN wireless nel mirino

Analizzando più da vicino la campagna malware, Akamai ha rilevato che la botnet prende di mira anche un router LAN wireless diffuso tra gli utenti domestici e gli hotel, già afflitto da un’altra falla RCE zero-day sfruttata dal malware.

L’analisi di Akamai sulle zero-day in videoregistratori e router

InfectedSlurs, così chiamato a causa dell’uso di un linguaggio offensivo nei domini C2 (comando e controllo) e di stringhe hardcoded, è una variante di JenX Mirai. Akamai riferisce che la sua infrastruttura C2 è relativamente concentrata e sembra supportare anche le operazioni di hailBot.

L’analisi ha rivelato un account Telegram, ora cancellato, collegato al cluster su Telegram. L’utente ha anche pubblicato screenshot che mostrano quasi 10.000 bot nel protocollo Telnet e altri 12.000 su specifici tipi/marchi di dispositivi denominati “Vacron”, “ntel” e “UTT-Bots”.

Akamai afferma che l’analisi dei campioni di bot catturati nell’ottobre 2023 mostra poche modifiche al codice rispetto alla botnet Mirai originale, quindi si tratta di uno strumento DDoS auto-propagante che supporta attacchi con inondazioni di richieste SYN, UDP e HTTP GET. Come Mirai, InfectedSlurs non compren

de un meccanismo di persistenza. Data la mancanza di una patch per i dispositivi colpiti, il riavvio dell’NVR e dei dispositivi rooter dovrebbe interrompere temporaneamente la botnet.

Come mitigare il rischio

La società di cybersicurezza riferisce che i fornitori interessati non hanno ancora provveduto a rilasciare patch le due falle sfruttate; pertanto, i dettagli in merito sono riservati per il momento.

Attraverso il processo di divulgazione responsabile, il fornitore ha comunicato a SIRT che sta lavorando a una correzione che sarà probabilmente distribuita nel mese di dicembre.

Anche il fornitore del dispositivo router, non reso noto, ha promesso di rilasciare aggiornamenti di sicurezza per risolvere il problema nel dicembre 2023.

Sarà urgente applicare le patch appena rilasciate. Intanto conviene adottare una postura di sicurezza più stringente e Zero-trust per evitare gli attacchi.

@RIPRODUZIONE RISERVATA