Mirai Nexcorium colpisce DVR TBK e router TP-Link: nuova botnet IoT pronta a scatenare DDoS globali
Featured

Mirai Nexcorium colpisce DVR TBK e router TP-Link: nuova botnet IoT pronta a scatenare DDoS globali

news Visite: 30

Negli ultimi mesi la sicurezza IoT è tornata al centro dell’attenzione per una nuova ondata di attacchi che sfrutta vulnerabilità note per trasformare dispositivi comuni in nodi di una botnet DDoS. In particolare, alcuni attori malevoli stanno prendendo di mira i TBK DVR e diversi router Wi‑Fi TP‑Link fuori supporto, installando varianti del malware Mirai capaci di lanciare attacchi di tipo distributed denial of service su larga scala.

TBK DVR: sfruttamento di CVE‑2024‑3721 e diffusione di Nexcorium

Il caso più rilevante riguarda i registratori video digitali TBK DVR 4104 e DVR 4216, colpiti tramite la vulnerabilità CVE‑2024‑3721. Si tratta di una command injection che consente agli aggressori di eseguire comandi da remoto e avviare la catena di infezione. Dopo lo sfruttamento, viene scaricato un downloader script che seleziona il payload corretto in base all’architettura Linux del dispositivo. Una volta in esecuzione, la variante Mirai denominata Nexcorium mostra un messaggio che segnala la presa di controllo e avvia i propri moduli operativi.

Caratteristiche tecniche di Nexcorium

Dal punto di vista tecnico, Nexcorium mantiene elementi tipici delle botnet IoT moderne, tra cui:

  • Configurazione offuscata con XOR
  • Modulo watchdog
  • Modulo dedicato agli attacchi DDoS

Il malware integra anche un exploit per CVE‑2017‑17215 per tentare la compromissione di dispositivi Huawei HG532 presenti nella rete e include credenziali hard coded per attacchi brute force via Telnet. Se la login Telnet riesce, prova a ottenere una shell, imposta la persistenza tramite crontab e servizi systemd, quindi contatta un server esterno in attesa di comandi. Gli attacchi DDoS possono essere lanciati su più protocolli come UDP, TCP e anche SMTP. Per ridurre le tracce, il binario iniziale viene eliminato dopo avere stabilito la persistenza.

Router TP‑Link fuori supporto: scansioni su CVE‑2023‑33538

In parallelo, sono state osservate scansioni automatizzate dirette contro CVE‑2023‑33538, che impatta router TP‑Link end of life come TL‑WR940N, TL‑WR740N e TL‑WR841N in specifiche versioni hardware. Anche quando i tentativi risultano imperfetti, la vulnerabilità è reale e, in scenari corretti, richiede autenticazione all’interfaccia web. Il codice osservato richiama spesso la stringa “Condi” e include funzioni di auto‑aggiornamento e capacità di agire come web server per propagare l’infezione ad altri dispositivi collegati.

Misure di mitigazione consigliate

Per ridurre il rischio è fondamentale:

  • Sostituire i router non più supportati
  • Disabilitare l’uso di credenziali di default
  • Limitare i servizi esposti come Telnet e interfacce web amministrative su Internet