Mạng botnet Zerobot Internet of Things (IoT) gần đây đã mở rộng khả năng khai thác và tấn công bao gồm tấn công từ chối dịch vụ (DDoS).
Zerobot là một phần mềm độc hại tự sao chép và tự lan truyền được viết bằng ngôn ngữ lập trình Golang (Go), có thể nhắm mục tiêu đến 12 kiến trúc thiết bị khác nhau.
Fortinet là công ty đầu tiên cảnh báo về các khả năng của mối đe dọa sau khi phân tích hai biến thể của phần mềm độc hại, một trong số đó chứa các khai thác 21 lỗ hổng đã biết, bao gồm các lỗ hổng gần đây là Spring4Shell và F5 Big-IP, cùng với nhiều lỗ hổng trong tường lửa, bộ định tuyến và camera giám sát.
Microsoft đã công bố phân tích của riêng mình về Zerobot , cảnh báo rằng phần mềm độc hại đã được cập nhật với các khả năng bổ sung, bao gồm khai thác hai lỗ hổng trong Apache và Apache Spark, được theo dõi lần lượt là CVE-2021-42013 và CVE-2022-33891.
Một lỗi giả mạo yêu cầu phía máy chủ (SSRF) được vá vào tháng 2021 năm 2021, CVE-42013-XNUMX được biết là cũng là mục tiêu của các mạng botnet khác, bao gồm cả mạng botnet DDoS Enemybot.
Ngoài ra biến thể Zerobot mà Microsoft đã phân tích cũng bao gồm khai thác cho CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) và ZSL-2022-5717 (MiniDVBLinux).
“Kể từ khi phát hành Zerobot 1.1, những kẻ khai thác phần mềm độc hại đã loại bỏ CVE-2018-12613- một lỗ hổng phpMyAdmin có thể cho phép các tác nhân đe dọa xem hoặc thực thi các tệp,” Microsoft lưu ý, đồng thời cho biết thêm rằng một số lỗ hổng được nhắm mục tiêu đã bị dán nhãn sai trước đó.
Hãng cho biết thêm: “Zerobot lây nhiễm bằng cách xâm nhập các thiết bị có lỗ hổng đã biết như CVE-2022-30023, một lỗ hổng injection trong các bộ định tuyến Tenda GPON AC1200“.
Khi nó đã xâm phạm một thiết bị, Zerobot sẽ đưa vào một tập lệnh để thực thi phần mềm độc hại botnet (hoặc một tập lệnh để xác định kiến trúc thiết bị và tìm nạp tệp nhị phân thích hợp) và đạt được sự bền bỉ trên thiết bị.
Mối đe dọa không nhắm vào các máy Windows, nhưng Microsoft cho biết các mẫu Zerobot có thể chạy trên Windows.
Biến thể Zerobot được cập nhật có một số khả năng mới để khởi động các cuộc tấn công DDoS bằng các giao thức UDP, ICMP, TCP, SYN, ACK và SYN-ACK.
Zerobot cũng có thể quét Internet, tìm các thiết bị bổ sung để lây nhiễm. Khả năng này cho phép nó quét các tập hợp các địa chỉ IP được tạo ngẫu nhiên, trong khi cố gắng xác định địa chỉ IP honey pot.
Các nhà nghiên cứu của Microsoft còn phát hiện: “Một mẫu có thể chạy trên Windows dựa trên công cụ quản trị từ xa mã nguồn mở (RAT) đa nền tảng (Linux, Windows, macOS) với nhiều tính năng khác nhau như quản lý quy trình, thao tác tệp, chụp ảnh màn hình và chạy lệnh.”
Theo Security Week