Исследователи Microsoft пишут, что обнаруженный недавно ботнет Zerobot обновился и теперь способен заражать новые IoT-устройства и непропачтенные серверы Apache.

Напомню, что первыми о Zerobot сообщили специалисты компании Fortinet. Они рассказывали, что написанный Go вредонос еще находится в разработке, но уже активно распространяется через эксплуатацию почти двух десятков уязвимостей в IoT-устройствах и различном ПО (включая F5 BIG-IP, брандмауэры Zyxel, маршрутизаторы Totolink и D-Link, а также камеры Hikvision).

Zerobot нацелен на различные архитектуры, включая i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 и S390x, и пока используется преимущественно для организации DDoS-атак.

Как теперь сообщают эксперты из команды Microsoft Defender для IoT, за прошедшие недели ботент успел обновиться и теперь способен атаковать еще больше брандмауэров, маршрутизаторов, камер и так далее.

Так, с начала декабря разработчики малвари избавились от модулей, нацеленных на серверы phpMyAdmin, маршрутизаторы Dasan GPON и беспроводные маршрутизаторы D-Link DSL-2750B, с эксплоитами годичной давности. Зато Zerobot получил новые эксплоиты для семи новых типов устройств и ПО, включая уязвимые серверы Apache и Apache Spark:

  • CVE-2017-17105: Zivif PR115-204-P-RS;
  • CVE-2019-10655: Grandstream;
  • CVE-2020-25223: WebAdmin of Sophos SG UTM;
  • CVE-2021-42013: Apache;
  • CVE-2022-31137: Roxy-WI;
  • CVE-2022-33891: Apache Spark;
  • ZSL-2022-5717: MiniDVBLinux.

«Также исследователи Microsoft обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с применением известных уязвимостей, которые не включены в бинарный файл вредоносного ПО. Например, CVE-2022-30023: уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200», — пишут аналитики.

Кроме того, эксперты предупредили, что обновленный Zerobot 1.1 «научился» новым трюкам в области DDoS-атак, в том числе атакам TCP_XMAS.

Атака Описание
UDP_RAW Отправляет UDP-пакеты с кастомной полезной нагрузкой.
ICMP_FLOOD Должен получаться ICMP-флуд, но пакет строится неправильно.
TCP_CUSTOM Отправляет TCP-пакеты с полностью кастомной полезной нагрузкой и флагами.
TCP_SYN Отправляет пакеты SYN.
TCP_ACK Отправляет пакеты ACK.
TCP_SYNACK Отправляет пакеты SYN-ACK.
TCP_XMAS Так называемая «атака рождественской елки» (установлены все флаги TCP). Значение причины сброса (reset cause) — «xmas».

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии