Ботнет Nexcorium атакует устройства IoT через устаревшие DVR-системы

Специалисты исследовательского подразделения FortiGuard Labs зафиксировали новую кампанию, в основе которой лежит эксплуатация уязвимости CVE-2024-3721 в DVR-устройствах бренда TBK. Эта уязвимость класса "внедрение операционной системы" позволяет удалённо выполнять произвольные команды через манипуляцию аргументами в веб-интерфейсе устройства. Успешная эксплуатация приводит к загрузке и исполнению вредоносного ПО, представляющего собой вариант знаменитого ботнета Mirai, адаптированный под несколько аппаратных архитектур и получивший название Nexcorium.

Интересно, что в эксплойте используется кастомный HTTP-заголовок "X-Hacked-By" со значением "Nexus Team - Exploited By Erratic". Этот артефакт позволяет предположить, что за атакой стоит малоизвестная группа угроз, которую исследователи условно именуют "Nexus Team". Первичный загрузчик, представляющий собой скрипт с именем "dvr", скачивает на устройство-жертву исполняемые файлы ботнета, скомпилированные для популярных в IoT архитектур: ARM, MIPS и x86-64. Скрипт также устанавливает максимальные права доступа на загруженный файл и запускает его, передавая информацию о скомпрометированном устройстве.

Анализ исполняемого файла для архитектуры x86 (nexuscorp.x86) показал, что Nexcorium унаследовал модульную архитектуру Mirai. После запуска вредоносная программа декодирует свою конфигурацию, зашифрованную с помощью XOR-операции. В этой конфигурации содержатся домен и порт сервера управления, команды для закрепления в системе, встроенный словарь для подбора паролей, а также код для эксплуатации других уязвимостей. В частности, Nexcorium содержит готовый эксплойт для критической уязвимости CVE-2017-17215 в маршрутизаторах Huawei HG532, что позволяет ему самостоятельно распространяться на новые жертвы.

Одним из ключевых модулей ботнета является сканер, который проводит атаки методом грубой силы на службу Telnet. Встроенный словарь содержит десятки пар "логин-пароль", многие из которых являются стандартными учётными данными по умолчанию для различного сетевого оборудования, включая камеры видеонаблюдения и маршрутизаторы. После успешного взлома учётной записи Nexcorium определяет архитектуру целевого устройства и загружает на него соответствующую версию вредоносного кода.

Особое внимание разработчики Nexcorium уделили механизмам персистентности, то есть способности пережить перезагрузку устройства. Вредоносная программа использует сразу несколько методов для гарантии своего повторного запуска. Она прописывает себя в системные конфигурационные файлы, такие как "/etc/inittab" и "/etc/rc.local", создаёт службу для менеджера systemd, а также добавляет задание в планировщик cron. После успешного закрепления в системе оригинальный файл самоуничтожается, что затрудняет обнаружение и анализ. Как сообщают эксперты FortiGuard Labs, именно такая многослойная тактика обеспечивает ботнету долгосрочное присутствие на скомпрометированных устройствах.

Основной функционал Nexcorium, как и у его предшественников, ориентирован на проведение мощных DDoS-атак. Ботнет способен по команде с C2-сервера инициировать более десяти различных типов флуд-атак, включая UDP-флуд, TCP SYN-флуд, атаки на SMTP-серверы и другие. Это делает сеть заражённых устройств опасным инструментом, который можно направить на вывод из строя веб-сайтов, онлайн-сервисов или даже критической инфраструктуры.

Кампания с использованием Nexcorium наглядно демонстрирует эволюцию угроз для интернета вещей. Современные ботнеты больше не полагаются лишь на подбор слабых паролей; они активно включают в свой арсенал эксплойты для известных, но не исправленных уязвимостей, поддерживают множество аппаратных платформ и применяют сложные методы для укоренения в системе. Для организаций, использующих IoT-устройства, это означает, что стандартной смены пароля по умолчанию уже недостаточно. Необходим комплексный подход, включающий регулярный мониторинг и установку обновлений безопасности от производителей, сегментацию сетей для изоляции IoT-устройств, а также постоянный анализ сетевого трафика на предмет аномалий и признаков компрометации. В противном случае любая камера или видеорегистратор может превратиться в тихую, но мощную угрозу для всей корпоративной сети.

IPv4

• 176.65.148.186
• 84.200.87.36

Domains

• r3brqw3d.b0ats.top

SHA256

• 0b510f93f47590791626d2fa74ddd62ba6eb8a5a5bb7b8476c0ceffc7be94ebe
• 29404df12a7723ce46c8b199c88a808aa315dd8ff8fd1e06a34ccd3d16f4553b
• 2ccf23b8165e8c05899aa7ba4755b896ebf1d20d3b701cffdc768482486b0a74
• 37132e804ccb3fc4ba1f72205da70c3d7a6e66b43178707a9d8ee1156d815c21
• 696aeb6321313919f0a41a520e6fa715450bbfb271a9add1e54efe16484a9c35
• 721c7cb2109ec97c14413cb8b58ddce0ecf0c1f13f22ee4f72eed79b57592cf5
• 7c01d5b53861cd34e10a79fdea16dcf08bce9c78ed72abd6d6f3e9ce75a24734
• 838e35b62a6b38675e467301166cdcc54f98d528fe43d56936caeffec88ac696
• 89dae116c77b0035277d39dfe01043624427c119ddee8883a3ba54a42a6ae400
• 95d1eb12d58206319c514c7240d058c512bb22b31f6ea22ed8be3ae44305c9f7
• 9b805585c457811d2c5c5664ede9ee869b53e3c9999100505d7ee8de7f855fdf
• b1274de00a7f3d7ab9792ec3456e9d5bf057738666f34183f1d72060e2d4f678
• e4789416c35b345e75c023a8c07c207c79937c6a5444e1c29d85d18d2f660d8c