Botnet InfectedSlurs

Un botnet de malware récemment découvert, « InfectedSlurs », exploite deux vulnérabilités zero-day pour l'exécution de code à distance (RCE) afin de compromettre les routeurs et les appareils enregistreurs vidéo (NVR). Ce logiciel menaçant prend le contrôle des appareils infectés et les intègre dans un essaim de DDoS (Distributed Denial of Service), probablement loués à des fins financières. Les analystes suggèrent que les premiers signes d’activité du botnet remontent à fin 2022, mais qu’il a été découvert pour la première fois en octobre 2023.

Le botnet InfectedSlurs avait réussi à rester sous le radar

Les analystes ont détecté un comportement suspect impliquant des sondes basse fréquence tentant de s'authentifier via des requêtes POST, suivies d'une tentative d'injection de commandes. En utilisant les données disponibles, les chercheurs ont effectué une analyse complète sur Internet et ont identifié que les appareils concernés étaient associés à un fabricant spécifique de NVR. Leurs conclusions ont indiqué que le botnet exploite une vulnérabilité d'exécution de code à distance (RCE) non signalée pour obtenir une entrée non autorisée dans l'appareil.

Après une inspection plus approfondie, il a été révélé que le logiciel malveillant exploitait les informations d'identification par défaut trouvées dans les manuels des fournisseurs de divers produits NVR. Il utilise ces informations d'identification pour installer un client bot et effectuer d'autres actions malveillantes. En approfondissant l'enquête, il a été découvert que le botnet cible également un routeur LAN sans fil largement utilisé, populaire parmi les particuliers et les hôtels. Ce routeur est sensible à une autre faille RCE zero-day exploitée par le malware pour ses activités.

InfectedSlurs montre peu d'améliorations par rapport à Mirai

Le malware identifié, surnommé « InfectedSlurs » par les chercheurs, doit son nom à l'utilisation d'un langage offensant présent dans les domaines de commande et de contrôle (C2, C&C) et de chaînes codées en dur. L’infrastructure C2, qui semble également faciliter les opérations de hailBot, affiche une concentration notable. Cette menace est identifiée comme une variante de JenX Mirai. De plus, une enquête a découvert un compte Telegram associé au cluster, bien que le compte ait depuis été supprimé.

L'utilisateur derrière le compte a partagé des captures d'écran révélant près de dix mille robots utilisant le protocole Telnet et 12 000 robots supplémentaires ciblant des types/marques d'appareils spécifiques tels que « Vacron », « ntel » et « UTT-Bots ».

Après analyse, des modifications minimes du code ont été identifiées par rapport au Mirai Botnet d'origine, indiquant qu'InfectedSlurs fonctionne comme un outil DDoS à propagation automatique. Il prend en charge les attaques utilisant des inondations de requêtes SYN, UDP et HTTP GET.

Semblable à Mirai, InfectedSlurs ne dispose pas d’un mécanisme de persistance. Comme aucun correctif n'est disponible pour les appareils concernés, une interruption temporaire du botnet peut être obtenue en redémarrant les appareils NVR et routeur.