Интернет вещей (IoT) вновь оказывается в центре масштабных атак: злоумышленники активно эксплуатируют уязвимости в цифровых видеорегистраторах TBK DVR и устаревших Wi‑Fi‑роутерах TP‑Link для развертывания новых вариаций ботнета Mirai. К такому выводу пришли аналитики Fortinet FortiGuard Labs и Palo Alto Networks Unit 42, подробно изучившие последние кампании.
Атака на TBK DVR через CVE-2024-3721 и ботнет Nexcorium
По данным Fortinet, злоумышленники нацелились на уязвимость CVE-2024-3721 (оценка CVSS 6.3) в видеорегистраторах TBK DVR‑4104 и DVR‑4216. Речь идет о типичной для встраиваемых устройств уязвимости внедрения команд, позволяющей удаленно выполнить произвольный код на устройстве без участия владельца.
Эксплуатация CVE-2024-3721 используется для загрузки скрипта‑загрузчика, который далее подтягивает и запускает вредоносный модуль в зависимости от архитектуры Linux‑системы (MIPS, ARM и др.). После успешного запуска вредонос выводит сообщение «nexuscorp has taken control», сигнализируя о захвате устройства ботнетом Nexcorium.
Исследователи отмечают, что Nexcorium архитектурно близок к классическому Mirai: используется XOR‑кодированная конфигурация, модуль «сторожевого таймера» (watchdog) и развитый функционал DDoS‑атак. Это типичные признаки современных IoT‑ботнетов, нацеленных на долговременный контроль над большим числом устройств.
Расширение атаки: Huawei HG532 и Telnet‑брутфорс
Интересной деталью Nexcorium стало наличие встроенного эксплойта для старой уязвимости CVE-2017-17215, позволяющей атаковать популярные ранее домашние роутеры Huawei HG532. Таким образом ботнет использует скомпрометированный TBK DVR как точку опоры для дальнейшего распространения в локальной сети.
Помимо эксплойтов, Nexcorium содержит список жестко закодированных пар логин/пароль и осуществляет автоматический перебор учетных данных через протокол Telnet. При успешной аутентификации вредонос получает оболочку, настраивает автозапуск через crontab и systemd, а затем подключается к управляющему серверу (C2) для получения команд на запуск DDoS‑атак по UDP, TCP и даже SMTP.
Для усложнения анализа после закрепления на устройстве Nexcorium удаляет исходный загруженный бинарный файл, что является распространенной практикой среди операторов ботнетов IoT‑класса.
RondoDox, Mirai и Morte: экосистема «loader-as-a-service»
Согласно более ранним сообщениям компании CloudSEK, CVE-2024-3721 ранее уже применялась в атаках для развертывания не только вариаций Mirai, но и относительно нового ботнета RondoDox. Исследователи описывают целую инфраструктуру loader‑as‑a‑service — сервисов по аренде загрузчиков, распространяющих RondoDox, Mirai и Morte через слабые пароли и старые уязвимости в роутерах, IoT‑устройствах и корпоративных приложениях.
Такая модель «ботнет‑как‑сервис» снижает порог входа для киберпреступников: взломщикам больше не нужно самостоятельно разрабатывать вредоносный код, достаточно арендовать готовую инфраструктуру для массового заражения устройств и последующих DDoS‑атак или другого вредоносного трафика.
Уязвимые роутеры TP-Link и Mirai-подобный ботнет Condi
Параллельно эксперты Palo Alto Networks Unit 42 зафиксировали автоматизированные сканирования и попытки эксплуатации уязвимости CVE-2023-33538 (CVSS 8.8) в ряде устаревших (end‑of‑life) роутеров TP‑Link. Уязвимость также относится к классу внедрения команд в веб‑интерфейсе управления роутером.
Хотя обнаруженные в дикой природе эксплойты реализованы с ошибками и на данный момент не приводят к успешному взлому, исследователи подтверждают, что сама уязвимость реальна и при корректной эксплуатации может дать злоумышленнику значительные возможности. Дополнительно отмечается, что для успешной атаки требуется аутентификация в веб‑панели роутера.
Целью атак является разворачивание Mirai‑подобного вредоносного ПО, в исходном коде которого множество упоминаний строки «Condi». Этот ботнет способен самостоятельно обновляться до более новых версий и выступать в роли веб‑сервера для дальнейшего распространения — заражать другие устройства, которые к нему подключаются.
Уязвимость CVE-2023-33538 была добавлена в каталог Known Exploited Vulnerabilities (KEV) Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в июне 2025 года, что подчеркивает ее значимость и потенциальную опасность для пользователей устаревших моделей TP‑Link, которые больше не получают обновления безопасности.
Почему IoT-устройства остаются легкой добычей для ботнетов
Исследователи едины во мнении, что сочетание массовости внедрения IoT, редкого обновления прошивок и использования заводских настроек и паролей по умолчанию делает такие устройства удобной целью для операторов ботнетов. В ряде случаев именно учетные данные по умолчанию превращают относительно ограниченную «аутентифицированную» уязвимость в критическую точку входа во внутреннюю сеть.
История Mirai, впервые прославившегося в 2016 году крупными DDoS‑атаками на DNS‑провайдеров и онлайн‑сервисы, демонстрирует, что код однажды созданного ботнета живет годами: появляются форки, новые модули и кампании, адаптирующиеся к свежим уязвимостям и новым моделям устройств. Nexcorium и Condi — очередные звенья в этой эволюции.
Пользователям и организациям, эксплуатирующим роутеры TP‑Link, TBK DVR и другие IoT‑устройства, стоит рассматривать такие инциденты как сигнал к действию. Устройства со статусом EoL необходимо заменять на поддерживаемые модели, регулярно обновлять прошивки, отключать Telnet и другие неиспользуемые сервисы, а также менять пароли по умолчанию на стойкие уникальные комбинации. Отдельное внимание следует уделить сетевой сегментации и мониторингу аномального трафика, чтобы минимизировать ущерб в случае компрометации.
