Zerobot是本月早些时候由 Fortinet FortiGuard 实验室首次记录的,它是一种基于 Go 的恶意软件,它通过网络应用程序和物联网设备(如防火墙、路由器和相机)中的漏洞进行传播。
“Zerobot 的最新发行版包括其他功能,例如利用 Apache 和 Apache Spark 中的漏洞(分别为CVE-2021-42013和CVE-2022-33891),以及新的 DDoS 攻击功能,”微软研究人员表示。
该恶意软件也被其运营商称为 ZeroStresser,它作为 DDoS 租用服务提供给其他犯罪分子,该僵尸网络在各种社交媒体网络上进行销售广告。
微软表示,与 Zerobot 相关联的一个域——zerostresser[.]com——是美国联邦调查局 (FBI) 本月查获的48 个域之一,用于向付费客户提供 DDoS 攻击功能。
微软发现的最新版本的 Zerobot 不仅针对未打补丁和保护不当的设备,而且还试图通过端口 23 和 2323 上的 SSH 和 Telnet 进行暴力破解以传播到其他主机。
CVE-2017-17105(CVSS 分数:9.8)- Zivif PR115-204-P-RS 中的命令注入漏洞
CVE-2019-10655(CVSS 评分:9.8)- Grandstream GAC2500、GXP2200、GVC3202、GXV3275 和 GXV3240 中存在未经身份验证的远程代码执行漏洞
CVE-2020-25223(CVSS 评分:9.8)- Sophos SG UTM 的 WebAdmin 中的远程代码执行漏洞
CVE-2021-42013(CVSS 评分:9.8)- Apache HTTP Server 中的远程代码执行漏洞
CVE-2022-31137(CVSS 评分:9.8)- Roxy-WI 中的远程代码执行漏洞
CVE-2022-33891(CVSS 分数:8.8)- Apache Spark 中一个未经身份验证的命令注入漏洞
ZSL-2022-5717(CVSS 分数:N/A)- MiniDVBLinux 中的远程 root 命令注入漏洞
成功感染后,攻击链会继续为特定 CPU 架构下载名为“零”的二进制文件,使其能够自我传播到在线暴露的更易受影响的系统。
此外,据说 Zerobot 通过扫描和破坏具有恶意软件可执行文件中未包含的已知漏洞的设备来扩散,例如CVE-2022-30023,Tenda GPON AC1200 路由器中的命令注入漏洞。
Zerobot 1.1利用UDP、ICMP、TCP等协议进一步融合了七种新的DDoS攻击方式,体现了“持续演进和快速增加新能力”。
“在网络经济中向恶意软件即服务的转变已经使攻击工业化,并使攻击者更容易购买和使用恶意软件,建立和维护对受感染网络的访问,并利用现成的工具来执行他们的攻击,”该技术巨人说。
