MalwareSchwachstellenHackerangriffe

Nexcorium-Botnet: Neue Mirai-Variante kapert TBK-Videorecorder für DDoS-Angriffe

Nexcorium-Botnet: Neue Mirai-Variante kapert TBK-Videorecorder für DDoS-Angriffe
Zusammenfassung

Eine neue Variante des Mirai-Botnetzes namens Nexcorium bedroht digitale Videorekorder und Router weltweit. Sicherheitsforscher von Fortinet und Palo Alto Networks haben entdeckt, dass Angreifer eine mittelschwere Sicherheitslücke (CVE-2024-3721) in TBK-DVR-Geräten ausnutzen, um diese in ein DDoS-Botnetz zu integrieren. Parallel werden auch veraltete TP-Link-Router durch die Schwachstelle CVE-2023-33538 kompromittiert. Die Malware nutzt klassische Angriffsmechaniken wie Brute-Force-Attacken mit hardcodierten Zugangsdaten und zielt zusätzlich auf Huawei-Router ab. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da vernetzte Sicherheitskameras und Router in Büros und Privatwohnungen weit verbreitet sind. Besonders kritisch ist die Situation für Besitzer älterer Geräte, die keine Sicherheitsupdates mehr erhalten. Einmal infiziert, können die Geräte für massive DDoS-Attacken missbraucht werden und damit die Stabilität des Internets gefährden. Experten warnen eindringlich vor der Verwendung von Standardpasswörtern und empfehlen dringend, anfällige Geräte durch aktuelle Modelle zu ersetzen, um sich vor dieser wachsenden Bedrohung zu schützen.

Die neu entdeckte Nexcorium-Variante offenbart ein klassisches Problem der IoT-Sicherheit: Millionen von Geräten weltweit sind ungepatcht und werden von ihren Herstellern nicht mehr unterstützt. Sicherheitsforscher Vincent Li fasst das Dilemma zusammen: “IoT-Geräte sind zunehmend bevorzugte Ziele für großflächige Angriffe, da sie weit verbreitet sind, selten aktualisiert werden und häufig schwache Sicherheitseinstellungen aufweisen.”

Die Angriffskette funktioniert nach bewährtem Schema: Der Exploit für CVE-2024-3721 ermöglicht es Angreifern, ein Downloader-Skript einzuschleusen. Dieses passt sich an die Systemarchitektur an und installiert dann die eigentliche Botnet-Malware. Beim Start zeigt sich eine Meldung: “nexuscorp has taken control” — ein digitales Kontrollschild für die Cyberkriminellen. Nexcorium ähnelt in seiner Architektur klassischen Mirai-Varianten und nutzt XOR-verschlüsselte Konfigurationen, Watchdog-Module und DDoS-Funktionen.

Besonders bemerkenswert: Das Schadprogramm attackiert nicht nur TBK-Geräte, sondern versucht auch, andere vernetzte Geräte zu infizieren — etwa Huawei HG532 Router über die Schwachstelle CVE-2017-17215. Dafür nutzt Nexcorium eine Liste mit vordefinierten Standardzugangsdaten für Brute-Force-Angriffe per Telnet. Gelingt der Login, installiert die Malware Persistenz-Mechanismen via Crontab und Systemd-Services und verbindet sich mit externen Kommandoservern.

Parallel zu den TBK-Angriffen beobachten Forscher von Unit 42 auch Exploitversuche gegen alte TP-Link Router über CVE-2023-33538 (CVSS 8,8). Diese Angriffe sind bislang fehlerhaft, doch die Sicherheitslücke ist real und seit Juni 2025 in der CISA-Datenbank für bekannte, ausgenutzte Schwachstellen gelistet. Die Malware dahinter enthält zahlreiche Verweise auf “Condi” und kann sich selbst aktualisieren sowie als Webserver fungieren, um andere Geräte anzustecken.

Das zentrale Problem: Alte Geräte ohne Herstellersupport können nicht gepatcht werden. “Default-Anmeldedaten in IoT-Geräten werden für absehbare Zeit ein Sicherheitsrisiko bleiben,” warnen die Unit-42-Forscher. “Sie verwandeln begrenzte, authentifizierte Schwachstellen in kritische Einfallstore für entschlossene Angreifer.”

Deutsche Nutzer sollten betroffene TBK-DVRs und alte TP-Link Router schnellstmöglich durch aktuelle Modelle ersetzen und niemals Standard-Passwörter verwenden. Unternehmen müssen ihre IoT-Infrastruktur regelmäßig überprüfen und inventarisieren.

Ähnliche Artikel