TBK DVRの脆弱性CVE-2024-3721がNexcoriumDDoSマルウェア拡散に悪用される

ハッカーはTBKデジタルビデオレコーダー（DVR）デバイスの重大な脆弱性を積極的に悪用し、Nexcoriumという名前の新しいMiraiベースのボットネットをデプロイしています。

このキャンペーンはOSコマンドインジェクション脆弱性であるCVE-2024-3721を活用しており、セキュリティが不十分なIoTデバイスが大規模分散型サービス拒否（DDoS）攻撃を継続的に引き起こしているかを強調しています。

脅威行為者はTBK DVRデバイスの「mdb」および「mdc」パラメータを操作することでCVE-2024-3721を悪用し、リモートコマンド実行を可能にしています。

攻撃トラフィックには「X-Hacked-By: Nexus Team – Exploited By Erratic」というラベル付きの独特なHTTPヘッダーが含まれており、「Nexus Team」という名前の未文書化の脅威グループを示唆しています。

悪用されると、攻撃者は「dvr」という名前のシェルスクリプトをデプロイします。これはARM、MIPS、およびx86-64を含む複数のアーキテクチャ全体にマルウェアペイロードをダウンロードします。

スクリプトは完全な実行権限を割り当て、マルウェアを起動し、感染を追跡するためにデバイス固有の引数を渡します。

Nexcoriumマルウェアの機能

配信されたペイロードはNexcoriumとして識別され、スケーラビリティ向けに設計されたMiraiバリアントで永続性があります。実行時に「nexuscorp has taken control」というメッセージが表示され、侵害が成功したことを示します。

主な機能は以下の通りです：

マルウェアは脆弱なシステムを積極的にスキャンし、デフォルト認証情報を使用してTelnetログインを試行し、新たに侵害されたホストに自身をデプロイする前にシェルアクセスを確認します。

Nexcoriumは長期アクセスを維持するために複数の永続性メカニズムを使用します：

FNV-1aハッシュアルゴリズムを使用して整合性チェックも実行します。改ざんが検出された場合、マルウェアは新しいファイル名の下で自身をレプリケートし、検出を回避するために元のバイナリを削除します。

NexcoriumはリモートC2サーバー（r3brqw3d[.]b0ats[.]top）を介して制御される広範なDDoS攻撃方法を備えています。サポートされている攻撃ベクトルは以下の通りです：

ボットネットはC2インフラストラクチャから受け取ったコマンドに基づいて攻撃を終了または自身を削除することもでき、オペレーターによる柔軟な制御を実証します。

このキャンペーンは、脅威行為者が新たに開示された脆弱性を古いエクスプロイトおよび認証情報ブルートフォースと組み合わせて感染率を最大化する成長傾向を反映しています。

マルチアーキテクチャペイロードの包含は、幅広いIoTデバイス全体との互換性を確保し、ボットネットのスケールを増加させます。

カスタムHTTPヘッダーなどの識別可能なアーティファクトの使用は、有用な属性の手がかりを提供しますが、攻撃者による自信のレベルも示します。

セキュリティ専門家は、特にデフォルト認証情報と古いファームウェアがまだ一般的な環境では、パッチが適用されていないIoTデバイスが重大なリスクのままであると警告しています。

組織とユーザーは、セキュリティアップデートを適用し、Telnetのような不要なサービスをオフにし、疑わしい活動のためにネットワークトラフィックを監視することをお勧めします。

FortiGuard Labsは、進化するIoTベースのボットネット脅威を軽減するために、搾取トレンドの継続的な監視と積極的な防御戦略が不可欠であると強調しています。