Nexcorium przejmuje urządzenia IoT: wariant Mirai wykorzystuje CVE-2024-3721 w rejestratorach TBK DVR - Security Bez Tabu

Nexcorium przejmuje urządzenia IoT: wariant Mirai wykorzystuje CVE-2024-3721 w rejestratorach TBK DVR

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa kampania malware potwierdza, że urządzenia IoT nadal należą do najsłabiej chronionych elementów infrastruktury sieciowej. W centrum obserwowanej aktywności znalazł się Nexcorium, wariant botnetu Mirai, który wykorzystuje podatność CVE-2024-3721 do przejmowania rejestratorów TBK DVR i włączania ich do infrastruktury wykorzystywanej do ataków DDoS.

Mechanizm działania jest dobrze znany z wcześniejszych operacji Mirai: atakujący identyfikują podatne urządzenia brzegowe, uzyskują na nich wykonanie poleceń, dostarczają odpowiedni ładunek binarny, a następnie używają przejętych systemów do dalszej propagacji i realizacji złośliwych działań.

W skrócie

  • Nexcorium to wariant Mirai ukierunkowany na urządzenia IoT, w szczególności rejestratory TBK DVR.
  • Kampania wykorzystuje lukę command injection oznaczoną jako CVE-2024-3721.
  • Po infekcji malware pobiera ładunek dopasowany do architektury urządzenia i ustanawia trwałość.
  • Złośliwe oprogramowanie próbuje rozprzestrzeniać się dalej przez Telnet i słabe poświadczenia.
  • Głównym celem pozostaje budowa botnetu DDoS zdolnego do prowadzenia rozproszonych ataków odmowy usługi.

Kontekst / historia

Rodzina Mirai od lat pozostaje jednym z najważniejszych zagrożeń dla środowisk IoT. Jej skuteczność wynika z prostego modelu operacyjnego: automatycznego wyszukiwania słabo zabezpieczonych urządzeń, wykorzystywania znanych podatności lub domyślnych danych logowania oraz szybkiego dołączania ofiar do botnetu.

W przypadku Nexcorium istotne jest to, że CVE-2024-3721 nie pojawia się w krajobrazie zagrożeń po raz pierwszy. Publicznie ujawnione luki w urządzeniach IoT często pozostają aktywne przez długi czas, ponieważ wiele takich systemów działa poza standardowym procesem aktualizacji, nie jest objętych regularnym monitoringiem i bywa traktowanych jako komponenty pomocnicze, a nie krytyczne aktywa.

Na znaczeniu zyskuje również fakt, że operatorzy kampanii nie ograniczają się do jednego wektora ataku. W analizowanej aktywności odnotowano też próby wykorzystania podatności CVE-2023-33538 w starszych routerach TP-Link, co wpisuje się w szerszy trend automatycznego skanowania i nadużywania urządzeń wycofanych z eksploatacji lub pozostających bez wsparcia producenta.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wykorzystania CVE-2024-3721, czyli błędu umożliwiającego wstrzyknięcie poleceń systemowych. Po uzyskaniu możliwości wykonania komend atakujący uruchamia skrypt typu downloader, którego zadaniem jest rozpoznanie architektury systemu Linux i pobranie odpowiedniego pliku binarnego malware.

Po uruchomieniu próbka wykazuje typowe cechy rodziny Mirai. Analizy wskazują na obecność zakodowanej konfiguracji, mechanizmów watchdog odpowiedzialnych za utrzymanie procesu przy życiu oraz modułów służących do przeprowadzania ataków DDoS przy użyciu różnych protokołów.

Nexcorium nie ogranicza się do jednorazowej infekcji. Malware zawiera również funkcje wspierające dalszą propagację, w tym wykorzystanie starszych exploitów oraz prób logowania przez Telnet przy użyciu list domyślnych lub słabych poświadczeń. Jeżeli logowanie powiedzie się, złośliwe oprogramowanie stara się uzyskać powłokę systemową, wdrożyć trwałość i przygotować urządzenie do komunikacji z infrastrukturą sterującą.

Mechanizmy persistence obejmują między innymi wpisy crontab i modyfikacje usług systemowych. Po ustanowieniu trwałości bot oczekuje na polecenia operatorów, a po zakończeniu instalacji może usuwać pierwotny plik binarny, by ograniczyć liczbę artefaktów pozostawionych po infekcji.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem kompromitacji jest włączenie urządzenia do botnetu DDoS. Dla organizacji oznacza to ryzyko wykorzystania własnej infrastruktury do ataków na podmioty trzecie, a także możliwość przeciążenia łączy, spadku jakości usług i zaburzenia działania systemów monitoringu lub urządzeń sieciowych.

Wysokie ryzyko dotyczy zwłaszcza środowisk, w których urządzenia IoT są wystawione bezpośrednio do Internetu, korzystają z domyślnych kont administracyjnych albo pozostają poza procesem zarządzania podatnościami. Rejestratory DVR i starsze routery bardzo często nie są objęte tym samym poziomem kontroli bezpieczeństwa co serwery czy stacje robocze.

Dodatkowym zagrożeniem jest możliwość dalszego rozprzestrzeniania infekcji. Jeśli malware wykorzystuje Telnet, znane poświadczenia i dodatkowe exploity, pojedyncze podatne urządzenie może stać się punktem wejścia do kolejnych systemów. W środowiskach przemysłowych, retail, biurowych i monitoringu wizyjnego może to przełożyć się na realne zakłócenia operacyjne.

Problem jest jeszcze poważniejszy w przypadku urządzeń wycofanych z eksploatacji. Brak wsparcia producenta oznacza, że trwałe obniżenie ryzyka często wymaga wymiany sprzętu lub jego pełnej izolacji od sieci publicznej i krytycznych segmentów infrastruktury.

Rekomendacje

W pierwszej kolejności organizacje powinny ustalić, czy w środowisku znajdują się podatne rejestratory TBK DVR oraz starsze routery brzegowe, które mogą być narażone na podobne kampanie. Pełna inwentaryzacja IoT jest warunkiem skutecznej redukcji ryzyka.

  • Ograniczyć lub całkowicie wyłączyć ekspozycję interfejsów administracyjnych do Internetu.
  • Zastosować dostępne poprawki bezpieczeństwa i aktualizacje producenta.
  • Wymienić urządzenia wycofane z eksploatacji lub pozbawione wsparcia.
  • Zmienić domyślne i słabe hasła, szczególnie dla kont uprzywilejowanych.
  • Wyłączyć Telnet i zastąpić go bezpieczniejszymi metodami zdalnego dostępu.
  • Wdrożyć segmentację sieci dla urządzeń IoT i oddzielić je od systemów krytycznych.
  • Monitorować ruch wychodzący pod kątem komunikacji C2 i anomalii typowych dla DDoS.
  • Sprawdzać obecność nietypowych wpisów crontab, usług systemowych i nieautoryzowanych procesów.
  • Korelować logi z firewalli, IDS/IPS oraz urządzeń brzegowych pod kątem prób skanowania i exploitacji.

Z perspektywy zespołów SOC uzasadnione jest przygotowanie reguł detekcji dla prób wykorzystania CVE-2024-3721, nietypowego ruchu Telnet, pobierania wieloarchitekturnych ładunków Linux oraz nagłego wzrostu ruchu UDP, TCP lub SMTP z urządzeń IoT.

Podsumowanie

Kampania z użyciem Nexcorium pokazuje, że botnety Mirai nadal skutecznie wykorzystują znane luki w masowo wdrażanych urządzeniach IoT. CVE-2024-3721 w rejestratorach TBK DVR stała się kolejnym przykładem podatności, która może posłużyć do szybkiego budowania infrastruktury DDoS i dalszej propagacji malware.

Najważniejszy wniosek dla organizacji jest jednoznaczny: bezpieczeństwo IoT musi być zarządzane z taką samą dyscypliną jak bezpieczeństwo serwerów i stacji roboczych. Bez inwentaryzacji, segmentacji, eliminacji domyślnych poświadczeń oraz planu wymiany urządzeń EoL podobne kampanie będą nadal skuteczne.

Źródła

  • The Hacker News – Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet — https://thehackernews.com/2026/04/mirai-variant-nexcorium-exploits-cve.html
  • NVD – CVE-2024-3721 — https://nvd.nist.gov/vuln/detail/CVE-2024-3721
  • Fortinet FortiGuard Labs – analiza kampanii Nexcorium — https://www.fortinet.com/blog/threat-research/new-mirai-variant-nexcorium-targeting-tbk-dvr-devices
  • Palo Alto Networks Unit 42 – analiza prób wykorzystania CVE-2023-33538 — https://unit42.paloaltonetworks.com/tp-link-vulnerability-cve-2023-33538/
  • CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog