Nexcorium атакует TBK DVR через CVE-2024-3721

Исследователи кибербезопасности зафиксировали вредоносную кампанию Nexcorium, нацеленную на устройства TBK DVR. Для первичного проникновения злоумышленники используют уязвимость CVE-2024-3721, применяя внедрение команд операционной системы. Такой подход позволяет доставлять script-loader, который затем загружает несколько образцов вредоносного ПО, совместимых с разными архитектурами Linux, включая ARM, MIPS R3000 и x86-64 (AMD64).

После успешного запуска на зараженном устройстве появляется сообщение „nexuscorp взяла управление на себя“, что служит явным индикатором компрометации.

Архитектура, напоминающая Mirai

По своей структуре Nexcorium напоминает варианты ботнета Mirai. В нем используются схожие техники, включая:

• таблицы конфигурации с XOR-кодированием;
• многомодульную архитектуру;
• разделение функций между watchdog, сканером и атакующим модулем.

Такая модульность делает вредоносное ПО гибким и позволяет ему выполнять разные задачи в рамках одной кампании.

Закрепление и выживание после перезагрузки

Во время выполнения Nexcorium проводит проверку целостности и использует механизмы закрепления, чтобы сохранить присутствие в системе. В частности, вредоносное ПО создает запланированные задачи через crontab, что позволяет ему переживать перезагрузку устройства и оставаться активным длительное время.

Дополнительно злоумышленники применяют меры по сокрытию следов, включая удаление исходного двоичного файла после того, как он закрепляется в другом месте.

Командование, DDoS и перебор учетных данных

Вредоносное ПО содержит встроенную конфигурацию, которая направляет его на сервер управления C2. Оттуда оно может получать команды для проведения DDoS-атак.

Функциональность кампании также включает:

• специфические эксплойты;
• методы атак методом перебора;
• использование жестко закодированного списка учетных данных по умолчанию для компрометации дополнительных систем.

Возможности DDoS-атак охватывают несколько векторов, включая UDP floods и TCP floods, что указывает на значительный операционный масштаб кампании.

Долгосрочный доступ и угроза для IoT-устройств

Анализ Nexcorium показывает согласованный подход к эксплуатации уязвимостей Internet of Things. Кампания использует известные эксплойты, чтобы повысить эффективность атак и обеспечить закрепление, демонстрируя адаптивность тактики и ориентацию на долгосрочный доступ.

Специалисты подчеркивают, что постоянный мониторинг уязвимостей и признаков вредоносного поведения остается критически важным для организаций, стремящихся защититься от подобных ботнет-угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Nexcorium атакует TBK DVR через CVE-2024-3721".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.