In den letzten Monaten haben wir gesehen, dass schädliche Schauspieler inländische und kleine Business-Geräte wieder verwenden, um Booster-Netzwerke mit der Fähigkeit, massive Angriffe zu starten. Laut Sicherheitsfirmen wie Fortinet FortiGuard Labs und Palo Alto Networks Unit 42 werden digitale Videorecorder TBK (DVR) und TP-Link Wi-Fi Router genutzt, die bereits das Ende ihrer Unterstützung bei der Bereitstellung von Mirai-Varianten und verwandten Werkzeugen erreicht haben.
Bei TBK DVR-Geräten identifizierten Analyten die Ausbeutung der Schwachstelle, die als CVE-2024-3721 bezeichnet wird. Die Angreifer verwenden dieses Versagen, ein kleines Download-Skript zu führen, das laut der Linux-Architektur des engagierten Teams eine Variante von Mirai installiert, die von den Forschern als "Nexcorium" benannt wird. Der Prozess ist einfach, aber effektiv: Die Infektionskette erkennt die Architektur, senkt die entsprechende binäre und startet sie; kurz nach dem infizierten Gerät zeigt eine Kontrollnachricht - "nexuscorp hat die Kontrolle übernommen" -, die die Persistenz des Schauspielers auf das Team bestätigt.
Nexcorium ist kein Spielzeug: es teilt typische Komponenten moderner IoT Botnet-Familien, die Techniker erklären. Zu seinen Funktionen gehören die Initialisierung einer XOR-codierten Konfigurationstabelle, ein Watch Dog Modul, um sicherzustellen, dass Malware noch am Leben ist, und mehrere DDoS-orientierte Module. Es umfasst auch bekannte Exploits - zum Beispiel versucht es, die CVE-2017-17215 zu nutzen, um Huawei HG532 Router, die auf dem gleichen Netzwerk sein können, zu kompromittieren - und hat eine Liste von integrierten Anmeldeinformationen, die es in brutalen Angriffen gegen offene Telnet-Dienste verwendet.
Wenn ein Telnet-Ansatz erfolgreich ist, versucht Nexcorium, eine Shell zu erhalten, Persistenzmechanismen durch Crontab oder einen System-Service zu implementieren und mit einem Befehls- und Steuerserver zu verbinden, um Angriffsanweisungen zu erhalten (UDP, TCP oder sogar SMTP). Um die forensische Analyse schwierig zu machen, sobald Sie es schaffen, einen persistenten Mechanismus zu verlassen, löschen Sie die ursprüngliche Binär aus dem Gerät.
Die technischen Beschreibungs- und Verpflichtungsindikatoren für diese Kampagne finden sich in den Analysen der Forscher; Fortinet dokumentiert diese Verhaltensweisen in ihrem Forschungsraum und Palo Alto Networks bietet zusätzlichen Kontext zu der automatisierten Operation, die sie im Netzwerk beobachtet. Für diejenigen, die sich vertiefen wollen, veröffentlichen die Portale der Hersteller und Antwortgruppen Berichte, die helfen, die Entwicklung dieser Bedrohungen zu verstehen: Fortinet veröffentlicht technische Forschung über Bedrohungen auf seinem Blog FortiGuard Labs und Unit 42 von Palo Alto Networks unterhält Einträge zu Malware-Analysen und IoT-Kampagnen in Ihr Blog.
Parallel erkannte Unit 42 aktive Scans, die auf eine Schwachstelle der TP-Link Router, die als CVE-2023-33538 aufgelistet sind, abzielen. Diese Geräte sind bereits außerhalb des Unterstützungszyklus, und obwohl die von den Forschern beobachteten Versuche schlecht gebaut wurden und keinen Code ausgeführt haben, ist der zugrunde liegende Defekt real; daher umfasste die CISA den Eintrag in ihren Katalog der in der Natur ausgenutzten Schwachstellen. Die Liste der betroffenen Modelle umfasst spezifische Versionen von TL-WR940N, TL-WR740N und TL-WR841N, die in heimischen Netzwerken und kleinen Büros noch häufig sind und daher ein einfaches Ziel für automatisierte Kampagnen.
Das Problem ist nicht nur das Vorhandensein von Fehlern, sondern die Kombination mit Standard-Anmeldeinformationen und Geräten, die keine Patches mehr erhalten.. Wenn ein Router aufhört zu aktualisieren und folgt mit Werkskennwörtern, eine Sicherheitslücke, die Authentifizierung erfordern würde, kann eine kritische Eingangstür in den Händen von bestimmten Angreifern werden. Unit 42 warnt weiter, dass die von ihnen verfolgten Proben die Fähigkeit beinhalten, sich selbst zu aktualisieren und sich als Webserver zu präsentieren, die die Infektion auf Geräte verbreiten, die mit ihnen verbinden.
Für diejenigen, die inländische Netzwerke oder kleine Infrastruktur verwalten, sind praktische Empfehlungen nicht neu, sondern entscheidend: Ersetzen von nicht unterstützten Geräten durch aktualisierte Modelle, Ändern der Standard-Anmeldedaten, Abschalten unnötiger Dienste wie Telnet und Segmentierung des Netzwerks, um Kameras, Recorder und andere IoT von anderen Geräten zu isolieren. CISA unterhält einen öffentlichen Katalog mit realen Sicherheitslücken und Empfehlungen, die es nützlich ist, zu überprüfen, verfügbar in Ihre Website. Es ist auch angebracht, die Beschreibungen von Schwachstellen im nationalen Repository zu konsultieren, um die technischen Auswirkungen zu kennen, beispielsweise die NVD-Einträge für CVE-2017-17215 und CVE-2023-33538 in NVD CVE-2017-17215 und NVD CVE-2023-33538.
Die Wiedererscheinung von Mirai und seinen Derivaten ist keine Überraschung: Diese Familien werden von Botnet-Betreibern immer noch für ihre Einfachheit, niedrigen Kosten und die große Anzahl von Geräten mit Standardeinstellungen ausgesetzt. Jüngste Drittanbieter-Forschung, einschließlich Berichte über "loader-as-a-Service"-Dienste, die Lasten wie Mirai verteilen, zeigt auch, dass es ein gut entwickeltes kriminelles Ökosystem, das diese Infektionen an Gruppen mit unterschiedlichen Fähigkeiten ermöglicht. Um diese Missbrauchsmodelle zu verstehen, bieten Berichte von Unternehmen wie CloudSEK Kontext darüber, wie diese Tools monetisiert und verteilt werden; ihr Blog ist eine gute einleitende Lesung über Die Welt Forschung.
Die Lektion ist klar: Die Sicherheit des Netzes beginnt mit dem schwächsten Umfang - oft ein Router oder eine Kamera ohne Patch - und geht durch grundlegende aber effektive Maßnahmen. Die Firmware auf dem neuesten Stand zu halten, wenn möglich, Austausch von EoL-Ausrüstung, Entfernen von Standardkonten und Passwörtern und Überwachung ungewöhnlicher Verbindungen sind Schritte, die das Risiko einer Beendigung im Rahmen eines Botnet dramatisch verringern, das am Ende sowohl die Privatsphäre als auch die Verfügbarkeit von Internet-Diensten beeinflussen kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...