モノのインターネット(IoT)デバイスは、セキュリティ構成の不備とパッチの遅延により、サイバー攻撃の非常に脆弱なターゲットのままです。
最近、Fortinet傘下のFortiGuard Labsのセキュリティ研究者たちは、TBKデジタルビデオレコーダー(DVR)の既知の脆弱性CVE-2024-3721を悪用する新しい脅威キャンペーンを発見しました。
攻撃者は、この脆弱性を利用して、悪名高いMiraiボットネットの危険な新しい変種であるNexcoriumを配布し、侵害されたデバイスを大規模な分散型サービス妨害(DDoS)攻撃のツールに変えています。
攻撃は、ハッカーがCVE-2024-3721を悪用することで始まります。これはDVR-4104やDVR-4216などのTBK DVRモデルに特に影響するOSコマンドインジェクション脆弱性です。
特定のデバイス引数を操作することで、攻撃者は悪意のあるダウンローダスクリプトを実行します。興味深いことに、FortiGuard Labsは、エクスプロイトトラフィックが「X-Hacked-By: Nexus Team – Exploited By Erratic」と記載されたカスタムHTTPヘッダーを含んでいることに気づきました。
この独特なアーティファクトにより、研究者はこのキャンペーンを「Nexus Team」と名乗る比較的未知の脅威グループに帰属させるようになりました。
ダウンローダスクリプトが実行されると、ARMおよびx86-64を含む様々なLinuxシステム全体での互換性を確保するために、マルチアーキテクチャマルウェアバイナリをフェッチします。
Nexcoriumはその中核構造を他のMirai変種と共有し、ウォッチドッグ、スキャナー、攻撃者の3つの主なモジュールを通じて機能します。
さらに広がるために、マルウェアはハードコードされた弱いデフォルトパスワードのリストを使用してTelnetブルートフォース攻撃を開始します。さらに、ボットネットはHuaweiデバイスを侵害するために古いエクスプロイトCVE-2017-17215に依存し、感染リーチを急速に拡大させます。
侵害された被害ホストへの長期的なアクセスを維持するため、Nexcoriumは複数の永続性メカニズムを採用しています。システムへの侵入に成功した後、マルウェアは自身を隠しシステムディレクトリにコピーします。
4つの異なる方法を通じてスタートアップ永続性を確立します:
足がかりを確保した後、Nexcoriumはその元の実行可能ファイルを削除して、その痕跡を隠し、セキュリティ分析を回避します。
ネットワーク管理者は、特にTBK DVRとレガシールーターを含むすべてのIoTデバイスが最新ファームウェアに更新されていることを確認する必要があります。ブルートフォース侵入を防ぐために、デフォルトパスワードは直ちに変更する必要があります。
さらに、組織は既知の悪意のあるC2ドメインとの通信をブロックするための堅牢なネットワークフィルタリングを展開し、感染が確立される前に疑わしいスキャニング動作を検出するための最新の脅威インテリジェンスサービスを活用する必要があります。
翻訳元: https://cyberpress.org/nexcorium-hits-tbk-dvrs/
