СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 апреля
#ИБ

Nexcorium атакует TBK DVR через CVE-2024-3721

Исследователи кибербезопасности зафиксировали вредоносную кампанию Nexcorium, нацеленную на устройства TBK DVR. Для первичного проникновения злоумышленники используют уязвимость CVE-2024-3721, применяя внедрение команд операционной системы. Такой подход позволяет доставлять script-loader, который затем загружает несколько образцов вредоносного ПО, совместимых с разными архитектурами Linux, включая ARM, MIPS R3000 и x86-64 (AMD64).

После успешного запуска на зараженном устройстве появляется сообщение nexuscorp взяла управление на себя, что служит явным индикатором компрометации.

Архитектура, напоминающая Mirai

По своей структуре Nexcorium напоминает варианты ботнета Mirai. В нем используются схожие техники, включая:

  • таблицы конфигурации с XOR-кодированием;
  • многомодульную архитектуру;
  • разделение функций между watchdog, сканером и атакующим модулем.

Такая модульность делает вредоносное ПО гибким и позволяет ему выполнять разные задачи в рамках одной кампании.

Закрепление и выживание после перезагрузки

Во время выполнения Nexcorium проводит проверку целостности и использует механизмы закрепления, чтобы сохранить присутствие в системе. В частности, вредоносное ПО создает запланированные задачи через crontab, что позволяет ему переживать перезагрузку устройства и оставаться активным длительное время.

Дополнительно злоумышленники применяют меры по сокрытию следов, включая удаление исходного двоичного файла после того, как он закрепляется в другом месте.

Командование, DDoS и перебор учетных данных

Вредоносное ПО содержит встроенную конфигурацию, которая направляет его на сервер управления C2. Оттуда оно может получать команды для проведения DDoS-атак.

Функциональность кампании также включает:

  • специфические эксплойты;
  • методы атак методом перебора;
  • использование жестко закодированного списка учетных данных по умолчанию для компрометации дополнительных систем.

Возможности DDoS-атак охватывают несколько векторов, включая UDP floods и TCP floods, что указывает на значительный операционный масштаб кампании.

Долгосрочный доступ и угроза для IoT-устройств

Анализ Nexcorium показывает согласованный подход к эксплуатации уязвимостей Internet of Things. Кампания использует известные эксплойты, чтобы повысить эффективность атак и обеспечить закрепление, демонстрируя адаптивность тактики и ориентацию на долгосрочный доступ.

Специалисты подчеркивают, что постоянный мониторинг уязвимостей и признаков вредоносного поведения остается критически важным для организаций, стремящихся защититься от подобных ботнет-угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: