IoT Security / Vulnerability

المتحول 'Nexcorium' ديال Mirai كايستغل ثغرة CVE-2024-3721 باش يسيطّر على أجهزة TBK DVR ويخدمها فـ DDoS Botnet

Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

20 أبريل 2026

المتحول 'Nexcorium' ديال Mirai كايستغل ثغرة CVE-2024-3721 باش يسيطّر على أجهزة TBK DVR ويخدمها فـ DDoS Botnet

المُلخص (TL;DR)

كاينين هاكرز (Threat actors) كايستغلو دابا واحد الثغرة متوسطة الخطورة ديال "command injection" (CVE-2024-3721) في أجهزة TBK DVR باش ينصبو Nexcorium، لي هو نسخة مطورة (variant) جديدة من البوتنت المعروف Mirai. بزيادة على هادشي، الباحثين لاحظو محاولات أوتوماتيكية (وخا فشلات) باش يخترقو رواطر (routers) TP-Link لي ديجا سالا الدعم ديالهم (EoL) باستغلال ثغرة CVE-2023-33538. هاد الهجمات كاتبين الخطر لي باقي كايشكلوه أجهزة الـ IoT لي مافيهومش التحديثات، حيت كايتستعملو باش يديرو هجمات DDoS كبار.

نظرة عامة على حملة Nexcorium

باحثين أمنيين من Fortinet FortiGuard Labs كتشفو حملة جديدة كتستهدف أجهزة تسجيل الفيديو الرقمية (DVRs) لي كاتصنعها شركة TBK. الطريقة الأساسية (Vector) كاتعتمد على ثغرة CVE-2024-3721 (بسكور 6.3 فـ CVSS)، وهي ثغرة "command injection" كاتأثر على موديلات TBK DVR-4104 و DVR-4216.

على حساب Fortinet، العملية ديال الاختراق كاتدوز من هاد المراحل:

الدخول الأولي (Initial Access): الهاكر كايستغل الثغرة باش يصيفط واحد الـ script ديال التحميل (downloader).
تحميل الـ Payload: هاد السكريبت كايعرف النوع ديال المعالج (architecture) لي كاين فالسيسطيم، وكايشارج اللوجيسيال (payload) المناسب ديال Nexcorium.
التنفيذ: ملي كايخدم الملوير (malware) بنجاح، كايطلع واحد الميساج فيه: "nexuscorp has taken control."

التحليل التقني لـ Nexcorium

Nexcorium مبني على الساس ديال Mirai الأصلي، ولكن فيه بزاف ديال الميزات مطورة باش يبقى شاد فالسيسطيم (persistence) وينتشر كتر.

البنية (Architecture): كايخدم بواحد الجدول ديال الإعدادات مشفر بـ XOR، وفيه module ديال "watchdog" باش يضمن بلي البرنامج يبقى خدام ديما، ومعاه module خاص بهجمات DDoS.
التحرك الجانبي (Lateral Movement): الملوير فيه "exploit" لثغرة CVE-2017-17215 مخصص باش يضرب أجهزة Huawei HG532 لي كاينين فـنفس الشبكة.
هجمات Brute-Force: فيه ليستة واجدة ديال سميات المستخدمين وكلمات السر (usernames/passwords) باش يحاول يدخل لـ Telnet فـأجهزة خرى.
البقاء فالسيسطيم (Persistence): إلا نجح فـالدخول لـ Telnet، كايحاول يشد "shell" ويتبت راسو باستعمال خدمات crontab و systemd.
التمويه (Evasion): باش يصعب التحقيق الجنائي (forensic analysis)، Nexcorium كايمسح الملف الأصلي (binary) ديالو غير كايضمن بلي راه تبت راسو فالسيسطيم.
وظائف DDoS: غير كايتصل بالسيرفر ديال التحكم (C2)، هاد البوتنت كايقدر يبدا هجمات باستعمال بروتوكولات UDP، TCP، و SMTP.

استهداف رواطر TP-Link لي "خارج الخدمة" (EoL)

فـنفس السياق، Palo Alto Networks Unit 42 سناو واحد النشاط ديال "scanning" أوتوماتيكي كيقلب على ثغرة CVE-2023-33538 (بسكور 8.8 فـ CVSS). هاد الثغرة الخطيرة كاتأثر على بزاف ديال الرواطر TP-Link Wi-Fi لي مابقاش ليهم الدعم، بحال:

TL-WR940N (v2, v4)
TL-WR740N (v1, v2)
TL-WR841N (v8, v10)

وخا الباحثين شافو بلي المحاولات الحالية "فاشلة" حيت الهاكرز ماعرفوش يطبقوها مزيان، ولكن الخطر كيبقى كبير. هاد الهجمات الهدف ديالها هو تنصب واحد النسخة كتشبه لـ Mirai سميتها "Condi"، لي كاتقدر تيليشارجي التحديثات لراسها وتخدم بحال "web server" باش تعدي أجهزة خرى.

المهم هو أن ثغرة CVE-2023-33538 تزادت فـيونيو 2025 للستة ديال CISA للأخطار لي معروف بلي كايتستغلو فعلياً (KEV).

المشهد العام لأخطار الـ IoT

هاد الرجوع ديال نسخ Mirai بحال Nexcorium و Condi كايبين بلي كاين ضعف كبير فـ "السيستيم" ديال الـ IoT. الباحث الأمني Vincent Li قال بلي هاد الأجهزة كاتبقى "أهداف سهلة" حيت موفرة بزاف، ماكاينش تحديثات مستمرة، والإعدادات ديال الأمان الأصلية (default) كاتكون ضعيفة.

هادي ماشي أول مرة كاتستغل فيها ثغرة CVE-2024-3721؛ فالعام اللخر، تخدمات من طرف بزاف ديال "البوتنتس"، بما فيهم واحد الخطر جديد سميتو RondoDox.

الخاتمة والتوصيات

التطور ديال Nexcorium كايورينا بلي الهاكرز ولاو كايعرفو يخلطو بين ثغرات قديمة وتقنيات جديدة باش يبقاو مخبيين فالسيسطيم. حيت بزاف من هاد الأجهزة — خصوصاً موديلات TP-Link — راهم "End-of-life" وماكايوصلوهمش تحديثات أمنية، الحل الوحيد فـبزاف ديال الحالات هو تبديل الماتريال (Hardware).

توصيات أمنية:

بدل الأجهزة القديمة (EoL): الناس لي عندهوم رواطر TP-Link لي ما بقاش فيهوم الدعم، خاصهوم يدوزو لموديلات جداد وكايقبلوا التحديثات.
حدث كلمات السر: ماتبقاش خدام بكلمات السر الأصلية (default)، حيت هجمات brute-force هي الطريقة اللولة باش كينتشر الملوير فـأجهزة IoT.
تقسيم الشبكة (Network Segmentation): عزل أجهزة IoT (بحال الـ DVRs) على الأجزاء الحساسة ديال الشبكة باش تمنع الهاكر من التحرك لداخل الشبكة.

المصدر: The Hacker News - Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

IoT Security / Vulnerability

المتحول 'Nexcorium' ديال Mirai كايستغل ثغرة CVE-2024-3721 باش يسيطّر على أجهزة TBK DVR ويخدمها فـ DDoS Botnet

Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

20 أبريل 2026

حمّل المانغا PDF اقرا الأصل

المتحول 'Nexcorium' ديال Mirai كايستغل ثغرة CVE-2024-3721 باش يسيطّر على أجهزة TBK DVR ويخدمها فـ DDoS Botnet

المُلخص (TL;DR)

نظرة عامة على حملة Nexcorium

على حساب Fortinet، العملية ديال الاختراق كاتدوز من هاد المراحل:

الدخول الأولي (Initial Access): الهاكر كايستغل الثغرة باش يصيفط واحد الـ script ديال التحميل (downloader).
تحميل الـ Payload: هاد السكريبت كايعرف النوع ديال المعالج (architecture) لي كاين فالسيسطيم، وكايشارج اللوجيسيال (payload) المناسب ديال Nexcorium.
التنفيذ: ملي كايخدم الملوير (malware) بنجاح، كايطلع واحد الميساج فيه: "nexuscorp has taken control."

التحليل التقني لـ Nexcorium

البنية (Architecture): كايخدم بواحد الجدول ديال الإعدادات مشفر بـ XOR، وفيه module ديال "watchdog" باش يضمن بلي البرنامج يبقى خدام ديما، ومعاه module خاص بهجمات DDoS.
التحرك الجانبي (Lateral Movement): الملوير فيه "exploit" لثغرة CVE-2017-17215 مخصص باش يضرب أجهزة Huawei HG532 لي كاينين فـنفس الشبكة.
هجمات Brute-Force: فيه ليستة واجدة ديال سميات المستخدمين وكلمات السر (usernames/passwords) باش يحاول يدخل لـ Telnet فـأجهزة خرى.
البقاء فالسيسطيم (Persistence): إلا نجح فـالدخول لـ Telnet، كايحاول يشد "shell" ويتبت راسو باستعمال خدمات crontab و systemd.
التمويه (Evasion): باش يصعب التحقيق الجنائي (forensic analysis)، Nexcorium كايمسح الملف الأصلي (binary) ديالو غير كايضمن بلي راه تبت راسو فالسيسطيم.
وظائف DDoS: غير كايتصل بالسيرفر ديال التحكم (C2)، هاد البوتنت كايقدر يبدا هجمات باستعمال بروتوكولات UDP، TCP، و SMTP.

استهداف رواطر TP-Link لي "خارج الخدمة" (EoL)

TL-WR940N (v2, v4)
TL-WR740N (v1, v2)
TL-WR841N (v8, v10)

المهم هو أن ثغرة CVE-2023-33538 تزادت فـيونيو 2025 للستة ديال CISA للأخطار لي معروف بلي كايتستغلو فعلياً (KEV).

المشهد العام لأخطار الـ IoT

الخاتمة والتوصيات

توصيات أمنية:

بدل الأجهزة القديمة (EoL): الناس لي عندهوم رواطر TP-Link لي ما بقاش فيهوم الدعم، خاصهوم يدوزو لموديلات جداد وكايقبلوا التحديثات.
حدث كلمات السر: ماتبقاش خدام بكلمات السر الأصلية (default)، حيت هجمات brute-force هي الطريقة اللولة باش كينتشر الملوير فـأجهزة IoT.
تقسيم الشبكة (Network Segmentation): عزل أجهزة IoT (بحال الـ DVRs) على الأجزاء الحساسة ديال الشبكة باش تمنع الهاكر من التحرك لداخل الشبكة.

المصدر: The Hacker News - Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet