🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão explorando falhas de segurança no TBK DVR e nos roteadores Wi-Fi TP-Link em fim de vida (EoL) para implantar variantes Mirai-botnet em dispositivos comprometidos, de acordo com descobertas do Fortinet FortiGuard Labs e da Palo Alto Networks Unit 42.
Descobriu-se que o ataque direcionado a dispositivos TBK DVR explora CVE-2024-3721 (pontuação CVSS: 6,3), uma vulnerabilidade de injeção de comando de gravidade média que afeta dispositivos de gravação de vÃdeo digital TBK DVR-4104 e DVR-4216, para fornecer uma variante Mirai chamada Nexcorium.
“Os dispositivos IoT são cada vez mais os principais alvos de ataques em grande escala devido ao seu uso generalizado, à falta de patches e à s configurações de segurança muitas vezes fracas”, disse o pesquisador de segurança Vincent Li. “Os atores de ameaças continuam explorando vulnerabilidades conhecidas para obter acesso inicial e implantar malware que pode persistir, se espalhar e causar ataques distribuÃdos de negação de serviço (DDoS).”
Esta não é a primeira vez que a vulnerabilidade é explorada à solta. No ano passado, a questão da segurança foi aproveitada para implantar uma variante do Mirai, bem como uma botnet distinta e relativamente nova chamada RondoDox. Em setembro de 2025, CloudSEK também divulgou detalhes de um botnet carregador como serviço em grande escala que tem distribuÃdo cargas úteis RondoDox, Mirai e Morte por meio de credenciais fracas e falhas antigas em roteadores, dispositivos IoT e aplicativos corporativos.
A atividade de ataque descrita pela Fortinet envolve a exploração do CVE-2024-3721 para obter e descartar um script de download, que então lança a carga útil do botnet com base na arquitetura do sistema Linux. Depois que o malware é executado, ele exibe uma mensagem informando “nexuscorp assumiu o controle”.
“Nexcorium tem uma arquitetura semelhante à variante Mirai, incluindo inicialização de tabela de configuração codificada em XOR, módulo watchdog e módulo de ataque DDoS”, disse o fornecedor de segurança.
O malware também inclui uma exploração do CVE-2017-17215 para atingir dispositivos Huawei HG532 na rede e incorpora uma lista de nomes de usuário e senhas codificados para uso em ataques de força bruta direcionados aos hosts da vÃtima, abrindo uma conexão Telnet.
Se o login do Telnet for bem-sucedido, ele tenta obter um shell, configurar a persistência usando o crontab e o serviço systemd e conectar-se a um servidor externo para aguardar comandos para iniciar ataques DDoS sobre UDP, TCP e SMTP. Depois que a persistência é estabelecida no dispositivo, o malware exclui o binário original baixado para evitar a análise.
“O malware Nexcorium exibe caracterÃsticas tÃpicas de botnets modernos focados em IoT, combinando exploração de vulnerabilidades, suporte para múltiplas arquiteturas e vários métodos de persistência para sustentar o acesso de longo prazo aos sistemas infectados”, disse Fortinet. “O uso de explorações conhecidas, como CVE-2017-17215, juntamente com extensas capacidades de força bruta, sublinha a sua adaptabilidade e eficácia no aumento do alcance da infecção.”
O desenvolvimento ocorre no momento em que a Unidade 42 disse que detectou varreduras e investigações ativas e automatizadas tentando explorar CVE-2023-33538 (pontuação CVSS: 8,8), uma vulnerabilidade de injeção de comando que afeta roteadores sem fio EoL TP-Link, embora usando uma abordagem falha que não resulta em um compromisso bem-sucedido.
É importante notar que a falha de segurança foi adicionada ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) em junho de 2025. A vulnerabilidade afeta os seguintes modelos -
TL-WR940N v2 e v4
TL-WR740N v1 e v2
TL-WR841N v8 e v10
“Embora os ataques que observamos fossem falhos e falhassem, nossa análise confirma que a vulnerabilidade subjacente é real”, disseram os pesquisadores Asher Davila, Malav Vyas e Chris Navarrete. "A exploração bem-sucedida requer autenticação na interface web do roteador."
Os ataques, neste caso, tentam implantar um malware de botnet semelhante ao Mirai, com o código-fonte apresentando inúmeras referências à string “Condi”. Ele também vem equipado com a capacidade de se atualizar com uma versão mais recente e atuar como um servidor web para espalhar a infecção para outros dispositivos que se conectem a ele.
Dado que os dispositivos TP‑Link afetados não são mais suportados ativamente, os usuários são aconselhados a substituÃ-los por um modelo mais recente e garantir que as credenciais padrão não sejam usadas.
“No futuro próximo, o cenário de segurança continuará a ser moldado pelo risco persistente de credenciais padrão em dispositivos IoT”, disse a Unidade 42. “Essas credenciais podem transformar uma vulnerabilidade limitada e autenticada em um ponto de entrada crÃtico para determinados invasores”.
Descobriu-se que o ataque direcionado a dispositivos TBK DVR explora CVE-2024-3721 (pontuação CVSS: 6,3), uma vulnerabilidade de injeção de comando de gravidade média que afeta dispositivos de gravação de vÃdeo digital TBK DVR-4104 e DVR-4216, para fornecer uma variante Mirai chamada Nexcorium.
“Os dispositivos IoT são cada vez mais os principais alvos de ataques em grande escala devido ao seu uso generalizado, à falta de patches e à s configurações de segurança muitas vezes fracas”, disse o pesquisador de segurança Vincent Li. “Os atores de ameaças continuam explorando vulnerabilidades conhecidas para obter acesso inicial e implantar malware que pode persistir, se espalhar e causar ataques distribuÃdos de negação de serviço (DDoS).”
Esta não é a primeira vez que a vulnerabilidade é explorada à solta. No ano passado, a questão da segurança foi aproveitada para implantar uma variante do Mirai, bem como uma botnet distinta e relativamente nova chamada RondoDox. Em setembro de 2025, CloudSEK também divulgou detalhes de um botnet carregador como serviço em grande escala que tem distribuÃdo cargas úteis RondoDox, Mirai e Morte por meio de credenciais fracas e falhas antigas em roteadores, dispositivos IoT e aplicativos corporativos.
A atividade de ataque descrita pela Fortinet envolve a exploração do CVE-2024-3721 para obter e descartar um script de download, que então lança a carga útil do botnet com base na arquitetura do sistema Linux. Depois que o malware é executado, ele exibe uma mensagem informando “nexuscorp assumiu o controle”.
“Nexcorium tem uma arquitetura semelhante à variante Mirai, incluindo inicialização de tabela de configuração codificada em XOR, módulo watchdog e módulo de ataque DDoS”, disse o fornecedor de segurança.
O malware também inclui uma exploração do CVE-2017-17215 para atingir dispositivos Huawei HG532 na rede e incorpora uma lista de nomes de usuário e senhas codificados para uso em ataques de força bruta direcionados aos hosts da vÃtima, abrindo uma conexão Telnet.
Se o login do Telnet for bem-sucedido, ele tenta obter um shell, configurar a persistência usando o crontab e o serviço systemd e conectar-se a um servidor externo para aguardar comandos para iniciar ataques DDoS sobre UDP, TCP e SMTP. Depois que a persistência é estabelecida no dispositivo, o malware exclui o binário original baixado para evitar a análise.
“O malware Nexcorium exibe caracterÃsticas tÃpicas de botnets modernos focados em IoT, combinando exploração de vulnerabilidades, suporte para múltiplas arquiteturas e vários métodos de persistência para sustentar o acesso de longo prazo aos sistemas infectados”, disse Fortinet. “O uso de explorações conhecidas, como CVE-2017-17215, juntamente com extensas capacidades de força bruta, sublinha a sua adaptabilidade e eficácia no aumento do alcance da infecção.”
O desenvolvimento ocorre no momento em que a Unidade 42 disse que detectou varreduras e investigações ativas e automatizadas tentando explorar CVE-2023-33538 (pontuação CVSS: 8,8), uma vulnerabilidade de injeção de comando que afeta roteadores sem fio EoL TP-Link, embora usando uma abordagem falha que não resulta em um compromisso bem-sucedido.
É importante notar que a falha de segurança foi adicionada ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) em junho de 2025. A vulnerabilidade afeta os seguintes modelos -
TL-WR940N v2 e v4
TL-WR740N v1 e v2
TL-WR841N v8 e v10
“Embora os ataques que observamos fossem falhos e falhassem, nossa análise confirma que a vulnerabilidade subjacente é real”, disseram os pesquisadores Asher Davila, Malav Vyas e Chris Navarrete. "A exploração bem-sucedida requer autenticação na interface web do roteador."
Os ataques, neste caso, tentam implantar um malware de botnet semelhante ao Mirai, com o código-fonte apresentando inúmeras referências à string “Condi”. Ele também vem equipado com a capacidade de se atualizar com uma versão mais recente e atuar como um servidor web para espalhar a infecção para outros dispositivos que se conectem a ele.
Dado que os dispositivos TP‑Link afetados não são mais suportados ativamente, os usuários são aconselhados a substituÃ-los por um modelo mais recente e garantir que as credenciais padrão não sejam usadas.
“No futuro próximo, o cenário de segurança continuará a ser moldado pelo risco persistente de credenciais padrão em dispositivos IoT”, disse a Unidade 42. “Essas credenciais podem transformar uma vulnerabilidade limitada e autenticada em um ponto de entrada crÃtico para determinados invasores”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mirai #variant #nexcorium #explora #cve20243721 #para #sequestrar #dvrs #tbk #para #botnet #ddos
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário