새로운 미라이 기반 맬웨어 봇넷 'InfectedSlurs'가 라우터와 비디오 레코더(NVR) 장치를 감염시키는 두 가지 제로데이 원격 코드 실행(RCE) 취약점을 악용하고 있습니다. 이 맬웨어는 장치를 납치하여 DDoS(분산 서비스 거부) 군집의 일부로 만들며, 이는 이익을 위해 임대되었을 것으로 추정됩니다. 'InfectedSlurs'의 발견은 Akamai에서 처음으로 2023년 10월 말에 그들의 꿀통에서 발견했으며, 그러나 봇넷의 초기 활동은 2022년 말로 거슬러 올라갑니다.

Akamai의 보안 정보 응답 팀(SIRT)은 2023년 10월에 봇넷을 처음 발견했으며, 그들의 꿀통을 대상으로하는 드물게 사용되는 TCP 포트에서 이상한 활동을 발견했습니다. 이 활동은 POST 요청을 통한 인증 시도를 따르는 명령 주입 시도를 포함하는 저주파 프로브였습니다. SIRT 분석가들은 보유한 데이터를 기반으로 인터넷 전체를 스캔하고, 대상 장치가 보안상의 이유로 보고서에 이름이 언급되지 않은 특정 NVR 제조업체와 연결되어 있음을 발견했습니다.

'InfectedSlurs'는 불온한 언어를 사용하는 C2(명령 및 제어) 도메인과 하드코딩된 문자열 때문에 그렇게 명명되었으며, JenX Mirai 변형이다. Akamai는 그것의 C2 인프라가 상대적으로 집중되어 있으며, 또한 hailBot 작업을 지원하는 것으로 보인다고 보고합니다. 분석은 이 클러스터에 연결된 이제는 삭제된 텔레그램 계정을 밝혀냈습니다.

요약

- 새로운 미라이 기반 맬웨어 봇넷 'InfectedSlurs'가 라우터와 비디오 레코더(NVR) 장치를 감염시키는 두 가지 제로데이 원격 코드 실행(RCE) 취약점을 악용하고 있다.
- 'InfectedSlurs'의 발견은 Akamai에서 처음으로 2023년 10월 말에 그들의 꿀통에서 발견했다.
- 'InfectedSlurs'는 불온한 언어를 사용하는 C2(명령 및 제어) 도메인과 하드코딩된 문자열 때문에 그렇게 명명되었으며, JenX Mirai 변형이다.

Reference

https://www.bleepingcomputer.com/news/security/new-botnet-malware-exploits-two-zero-days-to-infect-nvrs-and-routers/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*