Nexcorium-assoierte Mirai-Variante nutzt TBK-DVR-Exploit zur Skalierung von Botnet-Operationen

Eine neue Iteration des berüchtigten Mirai-Botnet, genannt Nexcorium, ist in freier Wildbahn aufgetaucht und zielt aggressiv auf internetkalkierte Videoaufzeichnungsgeräte ab.

Laut aktueller Bedrohungsforschung, veröffentlicht ’s FortiGuard Labs, nutzen Bedrohungsakteure eine bekannte Command-Injection-Schwachstelle aus, um TBK DVR-Systeme zu übernehmen und ein groß angelegtes Distributed Denial-of-Service (DDoS)-Botnet aufzubauen.

Fortinet-Forscher berichten, dass die Kampagne spezifisch die Modelle TBK DVR-4104 und DVR-4216 durch Ausnutzung 2024-3721 ins Visier nimmt. Dieser OS Command Injection-Fehler ermöglicht es Angreifern, einen Downloader-Skript zu liefern, indem sie Argumente innerhalb des Gerätesystems manipulieren.

Während der Ausnutzungsphase enthüllt der Netzwerkverkehr einen benutzerdefinierten HTTP-Header mit der Aufschrift „X-Hacked-By: Nexus Team – Exploited “, was FortiGuard Labs dazu veranlasst, die Kampagne einem relativ unbekannten Bedrohungsakteur zuzuordnen, der als „Nexus Team“ identifiziert wurde.

Sobald das Downloader-Skript ausgeführt wird, lädt es Multi-Architektur-Payloads für ARM-, MIPS- und x86-64-Umgebungen und zeigt anschließend eine Konsolenmeldung mit „nexuscorp has taken control“ an.

Technische Fähigkeiten und Infektionsmechanismen Fortinet analysiert, dass Nexcorium fundamentale Architekturmerkmale mit traditionellen Mirai-Varianten teilt und XOR-kodierte Konfigurationen sowie modulare Komponenten nutzt. Der technische Betrieb stützt sich auf mehrere Kernmechanismen: