Nexcorium Botnet
Cybersicherheitsuntersuchungen zeigen, dass Angreifer aktiv Sicherheitslücken in TBK-DVR-Systemen und veralteten TP-Link-WLAN-Routern ausnutzen, um Varianten des Mirai-Botnetzes zu verbreiten. Diese Geräte, die in Sicherheitsstrategien oft vernachlässigt werden, bieten aufgrund veralteter Firmware, schwacher Konfigurationen und seltener Sicherheitsupdates attraktive Einfallstore. Ihre weite Verbreitung erhöht ihren Wert als Ziele für groß angelegte Cyberangriffe zusätzlich.
Inhaltsverzeichnis
Ausnutzung bekannter Sicherheitslücken für den Erstzugriff
Die Kampagne gegen TBK-DVR-Geräte nutzt CVE-2024-3721 aus, eine Schwachstelle mit mittlerem Schweregrad (CVSS-Wert: 6,3), die das Einschleusen von Befehlen ermöglicht und die Modelle DVR-4104 und DVR-4216 betrifft. Angreifer können durch Ausnutzung dieser Sicherheitslücke eine Mirai-basierte Payload namens Nexcorium einschleusen. Diese Schwachstelle ist bereits in früheren Kampagnen aufgefallen und wurde zur Verbreitung von Mirai-Varianten sowie des neu aufkommenden RondoDox-Botnetzes genutzt.
Darüber hinaus hoben frühere Untersuchungen ein Loader-as-a-Service-Ökosystem hervor, das für die Verbreitung mehrerer Malware-Familien, darunter RondoDox, Mirai und Morte, verantwortlich ist, indem es schwache Anmeldeinformationen und veraltete Schwachstellen in Routern, IoT-Geräten und Unternehmensanwendungen ausnutzt.
Infektionskette und Nutzlastverteilung
Die Angriffssequenz beginnt mit der Ausnutzung der DVR-Schwachstelle, um ein Download-Skript auszuführen. Dieses Skript identifiziert die Linux-Architektur des Zielsystems und führt die entsprechende Botnet-Payload aus. Nach der Aktivierung signalisiert die Schadsoftware die erfolgreiche Übernahme des Systems durch die Anzeige einer entsprechenden Meldung.
Nexcorium spiegelt den strukturellen Aufbau traditioneller Mirai-Varianten wider und beinhaltet kodierte Konfigurationsdaten, Systemüberwachungsmechanismen und spezielle Module zum Starten verteilter Denial-of-Service-Angriffe.
Seitliche Bewegungs- und Ausdauertechniken
Die Schadsoftware weitet ihre Reichweite in Netzwerken aus, indem sie zusätzliche Schwachstellen, darunter CVE-2017-17215, ausnutzt und Huawei HG532-Geräte ins Visier nimmt. Sie verwendet außerdem Brute-Force-Techniken mit eingebetteten Anmeldeinformationslisten, um über Telnet-Zugriff weitere Systeme zu kompromittieren.
Sobald der Zugriff erlangt ist, führt die Schadsoftware mehrere Aktionen aus:
- Stellt eine Shell-Sitzung auf dem kompromittierten Host her.
- Konfiguriert Persistenz mithilfe von Crontab- und Systemd-Diensten
- Stellt eine Verbindung zu einem entfernten Kommando- und Kontrollserver her, um Anweisungen zu erhalten.
- Löscht die ursprüngliche Binärdatei, um die forensische Sichtbarkeit zu verringern
Diese Maßnahmen gewährleisten eine kontinuierliche Kontrolle und minimieren gleichzeitig das Risiko der Entdeckung und Analyse.
Fähigkeiten und operative Auswirkungen des Botnetzes
Nachdem Nexcorium dauerhafte Zugriffe ermöglicht hat, können Angreifer mithilfe verschiedener Protokolle eine Reihe von DDoS-Angriffen durchführen, darunter:
UDP
TCP
SMTP
Diese Multi-Vektor-Fähigkeit ermöglicht flexible und wirkungsvolle Angriffsszenarien und macht das Botnetz zu einer erheblichen Bedrohung für die angegriffene Infrastruktur.
Anhaltende Bedrohungslandschaft und zukünftige Risiken
Nexcorium ist ein Beispiel für die Entwicklung von IoT-orientierten Botnetzen und kombiniert die Wiederverwendung von Exploits, architekturübergreifende Kompatibilität und robuste Persistenzmechanismen. Die Integration bekannter Schwachstellen in Verbindung mit aggressiven Brute-Force-Taktiken beweist ein hohes Maß an Anpassungsfähigkeit.
Die fortgesetzte Nutzung von Standardanmeldeinformationen und ungepatchten Geräten sorgt dafür, dass IoT-Ökosysteme weiterhin eine kritische Schwachstelle darstellen. Ohne wesentliche Verbesserungen der Gerätesicherheitspraktiken werden diese Systeme weiterhin groß angelegte Botnetzoperationen ermöglichen und die globale Netzwerkstabilität gefährden.
