Ботнет «InfectedSlurs» массово вербует сетевые устройства в свой DDoS-батальон

[Artifact]

Под угрозой как простые маршрутизаторы, так и устройства для видеонаблюдения.
Согласно https://www.akamai.com/blog/security...-via-zero-days , предоставленным компанией по кибербезопасности Akamai, недавно исследователями был обнаружен новый ботнет, основанный на легендарном вредоносном ПО Mirai.
Вредоносная инфраструктура получила название «InfectedSlurs». Для распространения она использует две zero-day уязвимости, позволяющие беспрепятственно заражать маршрутизаторы и видеорегистраторы, доступные из Интернета.
Впервые активность «InfectedSlurs» была замечена в октябре 2023 года, хотя есть вероятность полагать, что ботнет был запущен ещё в конце прошлого года.
«InfectedSlurs» использует уязвимости для выполнения удалённого кода (RCE), делая заражённые устройства частью своей сети для DDoS-атак, предположительно с целью получения прибыли.
Компания Akamai сообщает, что производители затронутых устройств ещё не выпустили патчи для устранения этих уязвимостей, отчего владельцы уязвимого оборудования даже не могут полноценно защититься от этой угрозы.
Анализ «InfectedSlurs» показал, что атаки хакеров были направлены на NVR-видеорегистраторы определённого производителя, имя которого не раскрывается по соображениям безопасности. По такому же принципу «InfectedSlurs» атакует неназванные WLAN-маршрутизаторы, популярные как среди домашних пользователей, так и используемые в отельном бизнесе.
Доподлинно известно, что «InfectedSlurs» — это вариация Mirai JenX. Его C2-инфраструктура поддерживает операции hailBot, а проведённый специалистами анализ показал связь ботнета с Telegram-аккаунтом злоумышленников, который на момент написания отчёта уже был удалён.
Поскольку патчи для уязвимых устройств ещё не были выпущены, эксперты рекомендуют регулярно перезагружать уязвимые NVR-регистраторы и маршрутизаторы для временного прерывания деятельности ботнета. Однако, так как в Akamai не раскрыли конкретные уязвимые бренды и модели, это действие может быть бессмысленным для 99% пользователей подобного оборудования.
Тем не менее, если в вашем арсенале есть устройства данного типа, будет не лишним в ближайшие недели следить за выходом новых версий программного обеспечения и установить их сразу по мере возможности. Вдруг именно ваше оборудование уязвимо для хакерских атак.