-
18/08/2021
-
45
-
73 bài viết
Botnet Zerobot IoT cập nhật thêm nhiều khả năng tấn công bao gồm DDoS
Mạng botnet Zerobot Internet of Things (IoT) gần đây đã mở rộng khả năng khai thác và tấn công bao gồm tấn công từ chối dịch vụ (DDoS).
Zerobot là một phần mềm độc hại có thể tự sao chép và lan truyền, được viết bằng ngôn ngữ lập trình Golang (Go), có thể tấn công 12 kiến trúc thiết bị khác nhau.
Fortinet là công ty đầu tiên cảnh báo sau khi phân tích hai biến thể của phần mềm độc hại, một trong số đó chứa các khai thác 21 lỗ hổng đã biết, bao gồm các lỗ hổng gần đây là Spring4Shell và F5 Big-IP, cùng với nhiều lỗ hổng trong tường lửa, bộ định tuyến và camera giám sát.
Microsoft đã công bố phân tích của riêng mình về Zerobot vào thứ tư và cảnh báo rằng phần mềm độc hại đã được cập nhật bổ sung các khả năng, bao gồm khai thác hai lỗ hổng trong Apache và Apache Spark lần lượt là CVE-2021-42013 và CVE-2022-33891.
Một lỗi giả mạo yêu cầu phía máy chủ (SSRF) được vá vào tháng 2021 năm 2021, CVE-42013-XNUMX được biết là cũng là mục tiêu của các mạng botnet khác, bao gồm cả mạng botnet DDoS Enemybot.
Ngoài ra biến thể Zerobot mà Microsoft đã phân tích cũng bao gồm khai thác cho CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) và ZSL-2022-5717 (MiniDVBLinux).
Microsoft lưu ý một số lỗ hổng bị nhắm mục tiêu đã gắn nhãn sai trước đó: "Kể từ khi phát hành Zerobot 1.1, phần mềm độc hại đã loại bỏ khai thác CVE-2018-12613, một lỗ hổng phpMyAdmin có thể cho phép kẻ tấn công xem hoặc thực thi các tệp".
Hãng cho biết thêm: "Zerobot lây nhiễm bằng cách xâm nhập các thiết bị có lỗ hổng đã biết như CVE-2022-30023, một lỗ hổng injection trong các bộ định tuyến Tenda GPON AC1200".
Khi nó đã xâm nhập được thiết bị, Zerobot sẽ đưa một tập lệnh để thực thi phần mềm độc hại botnet (hoặc một tập lệnh để xác định kiến trúc thiết bị và tìm nạp tệp nhị phân thích hợp) và đạt được sự tồn tại bền bỉ trên thiết bị.
Mối đe dọa không nhắm vào các máy Windows, nhưng Microsoft đã thấy các mẫu Zerobot có thể chạy trên Windows.
Biến thể Zerobot được cập nhật có một số khả năng mới để khởi động các cuộc tấn công DDoS bằng các giao thức UDP, ICMP, TCP, SYN, ACK và SYN-ACK.
Zerobot cũng có thể quét Internet, tìm các thiết bị bổ sung để lây nhiễm. Khả năng này cho phép nó quét các tập hợp các địa chỉ IP được tạo ngẫu nhiên, trong khi cố gắng xác định địa chỉ IP honey pot.
Các nhà nghiên cứu của Microsoft còn phát hiện: "Một mẫu có thể chạy trên Windows dựa trên công cụ quản trị từ xa mã nguồn mở (RAT) đa nền tảng (Linux, Windows, macOS) với nhiều tính năng khác nhau như quản lý quy trình, thao tác tệp, chụp ảnh màn hình và chạy lệnh."
Zerobot là một phần mềm độc hại có thể tự sao chép và lan truyền, được viết bằng ngôn ngữ lập trình Golang (Go), có thể tấn công 12 kiến trúc thiết bị khác nhau.
Fortinet là công ty đầu tiên cảnh báo sau khi phân tích hai biến thể của phần mềm độc hại, một trong số đó chứa các khai thác 21 lỗ hổng đã biết, bao gồm các lỗ hổng gần đây là Spring4Shell và F5 Big-IP, cùng với nhiều lỗ hổng trong tường lửa, bộ định tuyến và camera giám sát.
Microsoft đã công bố phân tích của riêng mình về Zerobot vào thứ tư và cảnh báo rằng phần mềm độc hại đã được cập nhật bổ sung các khả năng, bao gồm khai thác hai lỗ hổng trong Apache và Apache Spark lần lượt là CVE-2021-42013 và CVE-2022-33891.
Một lỗi giả mạo yêu cầu phía máy chủ (SSRF) được vá vào tháng 2021 năm 2021, CVE-42013-XNUMX được biết là cũng là mục tiêu của các mạng botnet khác, bao gồm cả mạng botnet DDoS Enemybot.
Ngoài ra biến thể Zerobot mà Microsoft đã phân tích cũng bao gồm khai thác cho CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) và ZSL-2022-5717 (MiniDVBLinux).
Microsoft lưu ý một số lỗ hổng bị nhắm mục tiêu đã gắn nhãn sai trước đó: "Kể từ khi phát hành Zerobot 1.1, phần mềm độc hại đã loại bỏ khai thác CVE-2018-12613, một lỗ hổng phpMyAdmin có thể cho phép kẻ tấn công xem hoặc thực thi các tệp".
Hãng cho biết thêm: "Zerobot lây nhiễm bằng cách xâm nhập các thiết bị có lỗ hổng đã biết như CVE-2022-30023, một lỗ hổng injection trong các bộ định tuyến Tenda GPON AC1200".
Khi nó đã xâm nhập được thiết bị, Zerobot sẽ đưa một tập lệnh để thực thi phần mềm độc hại botnet (hoặc một tập lệnh để xác định kiến trúc thiết bị và tìm nạp tệp nhị phân thích hợp) và đạt được sự tồn tại bền bỉ trên thiết bị.
Mối đe dọa không nhắm vào các máy Windows, nhưng Microsoft đã thấy các mẫu Zerobot có thể chạy trên Windows.
Biến thể Zerobot được cập nhật có một số khả năng mới để khởi động các cuộc tấn công DDoS bằng các giao thức UDP, ICMP, TCP, SYN, ACK và SYN-ACK.
Zerobot cũng có thể quét Internet, tìm các thiết bị bổ sung để lây nhiễm. Khả năng này cho phép nó quét các tập hợp các địa chỉ IP được tạo ngẫu nhiên, trong khi cố gắng xác định địa chỉ IP honey pot.
Các nhà nghiên cứu của Microsoft còn phát hiện: "Một mẫu có thể chạy trên Windows dựa trên công cụ quản trị từ xa mã nguồn mở (RAT) đa nền tảng (Linux, Windows, macOS) với nhiều tính năng khác nhau như quản lý quy trình, thao tác tệp, chụp ảnh màn hình và chạy lệnh."
Theo: SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: