Исследователи Microsoft пишут, что обнаруженный недавно ботнет Zerobot обновился и теперь способен заражать новые IoT-устройства и непропачтенные серверы Apache.
Напомню, что первыми о Zerobot сообщили специалисты компании Fortinet. Они рассказывали, что написанный Go вредонос еще находится в разработке, но уже активно распространяется через эксплуатацию почти двух десятков уязвимостей в IoT-устройствах и различном ПО (включая F5 BIG-IP, брандмауэры Zyxel, маршрутизаторы Totolink и D-Link, а также камеры Hikvision).
Zerobot нацелен на различные архитектуры, включая i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 и S390x, и пока используется преимущественно для организации DDoS-атак.
Как теперь сообщают эксперты из команды Microsoft Defender для IoT, за прошедшие недели ботент успел обновиться и теперь способен атаковать еще больше брандмауэров, маршрутизаторов, камер и так далее.
Так, с начала декабря разработчики малвари избавились от модулей, нацеленных на серверы phpMyAdmin, маршрутизаторы Dasan GPON и беспроводные маршрутизаторы D-Link DSL-2750B, с эксплоитами годичной давности. Зато Zerobot получил новые эксплоиты для семи новых типов устройств и ПО, включая уязвимые серверы Apache и Apache Spark:
- CVE-2017-17105: Zivif PR115-204-P-RS;
- CVE-2019-10655: Grandstream;
- CVE-2020-25223: WebAdmin of Sophos SG UTM;
- CVE-2021-42013: Apache;
- CVE-2022-31137: Roxy-WI;
- CVE-2022-33891: Apache Spark;
- ZSL-2022-5717: MiniDVBLinux.
«Также исследователи Microsoft обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с применением известных уязвимостей, которые не включены в бинарный файл вредоносного ПО. Например, CVE-2022-30023: уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200», — пишут аналитики.
Кроме того, эксперты предупредили, что обновленный Zerobot 1.1 «научился» новым трюкам в области DDoS-атак, в том числе атакам TCP_XMAS.
Атака | Описание |
UDP_RAW | Отправляет UDP-пакеты с кастомной полезной нагрузкой. |
ICMP_FLOOD | Должен получаться ICMP-флуд, но пакет строится неправильно. |
TCP_CUSTOM | Отправляет TCP-пакеты с полностью кастомной полезной нагрузкой и флагами. |
TCP_SYN | Отправляет пакеты SYN. |
TCP_ACK | Отправляет пакеты ACK. |
TCP_SYNACK | Отправляет пакеты SYN-ACK. |
TCP_XMAS | Так называемая «атака рождественской елки» (установлены все флаги TCP). Значение причины сброса (reset cause) — «xmas». |