TVT DVR sömürüsünde dalgalanmanın arkasında yeni mirai botnet


Botnet

3 Nisan 2025’te savunmasız cihazlar için 2.500’den fazla benzersiz IP taraması ile zirve yapan TVT NVMS9000 DVRS’yi hedefleyen sömürü denemelerinde önemli bir artış tespit edildi.

Saldırılar, ilk olarak Mayıs 2024’te bir SSD danışmanlığı tarafından açıklanan ve tek bir TCP yükü kullanarak clean metninde yönetici kimlik bilgilerinin alınmasıyla ilgili tüm sömürü ayrıntılarını yayınlayan bir bilgi açıklama güvenlik açığı kullanmaya çalışmaktadır.

Sömürü, bir kimlik doğrulama baypasıyla sonuçlanır ve saldırganların kısıtlama olmadan cihazdaki yönetim komutlarını yürütmesine izin verir.

Sömürü faaliyetini tespit eden tehdit izleme platformuna göre, muhtemelen cihazları botnet’e dahil etmeyi amaçlayan Mirai tabanlı bir kötü amaçlı yazılımlara bağlı.

Tipik olarak, enfekte olmuş cihazlar daha sonra kötü niyetli trafiği, kriptominasyonu proxy için kullanılır veya dağıtılmış hizmet reddi (DDOS) saldırılarını başlatır.

Geçen ay, Geynoise bu aktiviteyle ilişkili 6.600 farklı IPS’yi gündeme getirdi ve hepsi kötü niyetli ve kusurlu olmadığı doğrulandı.

Saldırıların çoğu Tayvan, Japonya ve Güney Kore’den kaynaklanırken, hedeflenen cihazların çoğunluğu ABD, İngiltere ve Almanya’da bulunuyor.

Sömürü denemelerinde artış
Sömürü denemelerinde artış
Kaynak: Geynoise

TVT NVMS9000 DVR, Shenzen merkezli TVT Digital Technology Co., Ltd. tarafından yapılan bir dijital video kaydedicidir.

Bu DVR’ler öncelikle güvenlik kameralarından video görüntülerini kaydetmek, depolamak ve yönetmek için güvenlik ve gözetim sistemlerinde kullanılır.

DVR’ler genellikle internet bağlantılı olduğundan, tarihsel olarak çeşitli botnetler tarafından hedeflenmiştir, hatta bazıları beş yaşındaki kusurlardan yararlanırlar.

Açıkta kalan DVR’leri hedefleyen bazı son botnet örnekleri arasında Hiatusrat, Mirai ve Freakout bulunmaktadır.

SSD’nin danışmanlığına göre, müşteriler kusuru düzeltmek için ürün yazılımı sürüm 1.3.4 veya üstüne yükseltmelidir.

Yükseltme imkansızsa, DVR bağlantı noktalarına genel internet erişiminin kısıtlanması ve Geynoise tarafından listelenen IP adreslerinden gelen taleplerin engellenmesi önerilir.

DVR’lerde Mirai enfeksiyonlarının belirtileri arasında giden trafik ani artışlar, durgun performans, sık çökmeler veya yeniden başlatmalar, boşta olduğunda bile yüksek CPU/bellek kullanımı ve değiştirilmiş konfigürasyonlar bulunur.

Bunlardan herhangi biri tespit edilirse, DVR’nin bağlantısını kesin, bir fabrika sıfırlaması yapın, en son ürün yazılımını güncelleyin ve daha sonra ana ağdan izole edin.

NVMS9000 için son ürün yazılımı sürümü 2018’de idi, bu nedenle cihazların hala desteklenip desteklenmediği belirsiz.

Kırmızı Rapor 2025

14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.



Source link