.
O botnet Zerobot, detectado pela primeira vez no início deste mês, está expandindo os tipos de dispositivos da Internet das Coisas (IoT) que pode comprometer indo atrás dos sistemas Apache.
A botnet, escrita na linguagem de programação Go, está sendo vendida como modelo de malware como serviço (MaaS) e se espalha por meio de vulnerabilidades em dispositivos IoT e aplicativos da web, de acordo com a equipe de Inteligência de Ameaças de Segurança da Microsoft (MSTIC). relatório divulgado na quarta-feira.
Zerobot foi o primeiro relatado no início de dezembro por pesquisadores do FortiGuard Labs da Fortinet, que disseram que o botnet tinha como alvo dispositivos Linux. Como os botnets típicos, o objetivo é comprometer os dispositivos conectados à Internet, como firewalls, roteadores e câmeras, e colocá-los em um botnet para lançar ataques DDoS.
MSTIC’s relatório esta semana baseia-se nas descobertas iniciais do FortiGuard, detalhando os avanços na última iteração da botnet.
“O Zerobot 1.1 aumenta suas capacidades com a inclusão de novos métodos de ataque e novas explorações para arquiteturas suportadas, expandindo o alcance do malware para diferentes tipos de dispositivos”, escreveram os pesquisadores do MSTIC.
Eles escreveram que o Zerobot – que também é conhecido por seus operadores como ZeroStresser e é rastreado pela Microsoft como DEV-1061 – usa vários módulos para infectar dispositivos vulneráveis baseados em uma variedade de arquiteturas e sistemas operacionais. Mas a atualização mais recente está indo para os sistemas Apache e Apache Spark.
Zerobot 1.1 agora pode explorar vulnerabilidades no Apache (CVE-2021-42013) e Apache Spark (CVE=2022-33891), segundo o MSTIC. Também existem outras vulnerabilidades nos sistemas MiniDVBLinux DVR, sistemas de rede Grandstream e Roxy-WI GUI.
O botnet explora vulnerabilidades em dispositivos não corrigidos ou mal protegidos e, em alguns casos, usará técnicas de força bruta em dispositivos vulneráveis que incluem configurações inseguras que usam credenciais padrão ou fracas, escreveram os pesquisadores.
“O malware pode tentar obter acesso ao dispositivo usando uma combinação de oito nomes de usuário comuns e 130 senhas para dispositivos IoT por SSH e telnet nas portas 23 e 2323 para se espalhar para os dispositivos”, escreveram eles, acrescentando que também houve tentativas de abrir portas e conecte-se a elas por meio de batida de porta nas portas 80, 8080, 8888 e 2323.
Além disso, o malware pode se espalhar para os dispositivos explorando vulnerabilidades que não estão incluídas em seu binário, como CVE-2022-30023uma vulnerabilidade de injeção de comando em roteadores GPON AC1200 da Tenda.
O botnet lança uma carga maliciosa que é um script genérico chamado zero.sh para executar o Zerobot ou um script que baixa o binário do Zerobot de uma arquitetura específica por força bruta.
Um domínio ZeroStresser associado ao Zerobot estava entre quase 50 domínios apreendido pelo FBI no início deste mês por lançar ataques DDoS em todo o mundo.
Os dispositivos IoT são alimentados por uma variedade de arquiteturas de CPU, de x86 a Arm e MIPs. O Zerobot continua martelando com binários até encontrar o correto.
O malware também possui diferentes técnicas de persistência, dependendo do sistema operacional. Ele não pode se espalhar para os sistemas Windows, mas os pesquisadores escreveram que encontraram amostras que podem ser executadas no Windows e salvas por meio da pasta Iniciar. Em sistemas baseados em Linux, ele usa uma combinação de entrada de desktop, daemon e configurações de serviço.
As amostras do Windows são baseadas em uma plataforma cruzada de código aberto – Windows, Linux e macOS – malware.
Zerobot era conhecido por ter nove métodos diferentes de lançar ataques DDoS e os pesquisadores do MSTIC encontraram mais sete, incluindo pacotes UDP e TCP com cargas personalizáveis e envio de pacotes SYN (sincronização) ou ACK (confirmação) individualmente ou combinados.
Os pesquisadores do MSTIC disseram que os operadores por trás do Zerobot o estão usando como parte de um esquema MaaS e que foi atualizado várias vezes desde que a Microsoft começou a rastreá-lo.
“Rastreamos anúncios do botnet Zerobot em várias redes de mídia social, além de outros anúncios relacionados à venda e manutenção do malware, bem como novos recursos em desenvolvimento”, escreveram eles. ®
.
