MKD-CIRT National Centre for Computer Incident Response
Ботнетот Zerobot е надграден за да зарази нови уреди со искористување на безбедносните пропусти на Интернет и незакрпените Apache сервери.
Истражувачкиот тим на Microsoft Defender за IoT исто така забележа дека оваа најнова верзија додава нови можности за DDoS.
Zerobot е во активен развој од ноември, со нови верзии кои додаваат нови модули и функции за проширување на векторите на напади на ботнет и олеснување на инфицирањето на новите уреди, вклучувајќи заштитни ѕидови, рутери и камери.
Од почетокот на декември, развивачите на малициозен софтвер ги отстранија модулите што ги таргетираа phpMyAdmin серверите, домашните рутери Dasan GPON и безжичните рутери D-Link DSL-2750B со експлоати стари една година.
Ажурирањето забележано од страна на Мајкрософт додава понови експлоатирања на пакетот алатки на малициозен софтвер, овозможувајќи му да таргетира седум нови типови на уреди и софтвер, вклучувајќи ги незакрпените сервери Apache и Apache Spark.
Целосната листа на модули додадени на Zerobot 1.1 вклучува:
CVE-2017-17105: Zivif PR115-204-P-RS
CVE-2019-10655: Grandstream
CVE-2020-25223: WebAdmin на Sophos SG UTM
CVE-2021-42013: Apache
CVE-2022-31137: Roxy-WI
CVE-2022-33891: Apache Spark
ZSL-2022-5717: MiniDVBLinux
„Истражувачите на Microsoft пронајдоа и нови докази дека Zerobot пропагира со зарaзување на уреди со познати пропусти кои не се вклучени во бинарниот софтвер за малициозен софтвер, како што е CVE-2022-30023, ранливост за инјектирање на команди во рутерите Tenda GPON AC1200“, изјави тимот на Microsoft Security Threat Intelligence.
Последно, но не и најмалку важно, ажурираниот малициозен софтвер сега доаѓа со седум нови DDoS способности, вклучувајќи го и методот за напад TCP_XMAS.
Овој малициозен софтвер базиран на Go (исто така наречен ZeroStresser од неговите развивачи) беше првпат забележан во средината на ноември.
Во тоа време, тој користеше приближно дваесетина експлоатирања за да зарази различни уреди, вклучително и F5 BIG-IP, заштитните ѕидови на Zyxel, Totolink, рутерите D-Link и камерите на Hikvision.
Цели на многу системски архитектури и уреди, вклучувајќи ги i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 и S390x.
Zerobot се шири преку т.н. brute – force напади (напаѓач се обидува да ја погоди точната лозинка преку проби со многу можни лозинки) врз незаштитени уреди со стандардни или слаби акредитиви и ги искористува пропустите во Интернет на нештата (IoT) и веб апликациите.
Штом ќе зарази систем, ќе преземе скрипта наречена „zero“ што ќе му овозможи да се самопропагира на повеќе ранливи уреди изложени онлајн.
Ботнетот останува на компромитирани уреди и се користи за лансирање DDoS напади преку низа протоколи, но исто така може да им обезбеди на сајбер криминалците иницијален пристап до мрежите на жртвите.
Извор: BleepingComputer