Phần mềm độc hại Zerobot mới có 21 lần khai thác cho các thiết bị BIG-IP, Zyxel, D-Link

Một phần mềm độc hại dựa trên Go mới có tên ‘Zerobot’ đã được phát hiện vào giữa tháng 11 bằng cách khai thác gần hai chục lỗ hổng trong nhiều loại thiết bị bao gồm F5 BIG-IP, tường lửa Zyxel, bộ định tuyến Totolink và D-Link cũng như camera Hikvision.

Mục đích của phần mềm độc hại là thêm các thiết bị bị xâm nhập vào mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán để khởi động các cuộc tấn công mạnh mẽ nhằm vào các mục tiêu được chỉ định.

Zerobot có thể quét mạng và tự lan truyền đến các thiết bị lân cận cũng như chạy lệnh trên Windows (CMD) hoặc Linux (Bash).

Các nhà nghiên cứu bảo mật tại Fortinet đã phát hiện ra Zerobot và nói rằng kể từ tháng 11, một phiên bản mới đã xuất hiện với các mô-đun bổ sung và cách khai thác lỗ hổng mới, cho thấy phần mềm độc hại này đang được phát triển tích cực.

Khai thác theo cách của nó trong

Phần mềm độc hại có thể nhắm mục tiêu một loạt các kiến ​​trúc hệ thống và thiết bị, bao gồm i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 và S390x.

Zerobot kết hợp khai thác 21 lỗ hổng và sử dụng chúng để giành quyền truy cập vào thiết bị. Sau đó, nó tải xuống một tập lệnh có tên là “zero”, cho phép nó tự lan truyền.

Zerobot sử dụng các cách khai thác sau để vi phạm các mục tiêu của nó:

• CVE-2014-08361: dịch vụ SOAP miniigd trong Realtek SDK
• CVE-2017-17106: Webcam Zivif PR115-204-P-RS
• CVE-2017-17215: Bộ định tuyến Huawei HG523
• CVE-2018-12613: phpMyAdmin
• CVE-2020-10987: Bộ định tuyến Tenda AC15 AC1900
• CVE-2020-25506: D-Link DNS-320 NAS
• CVE-2021-35395: Realtek Jungle SDK
• CVE-2021-36260: Sản phẩm Hikvision
• CVE-2021-46422: Bộ định tuyến Telesquare SDT-CW3B1
• CVE-2022-01388: F5 BIG-IP
• CVE-2022-22965: Spring MVC và Spring WebFlux (Spring4Shell)
• CVE-2022-25075: Bộ định tuyến TOTOLink A3000RU
• CVE-2022-26186: Bộ định tuyến TOTOLink N600R
• CVE-2022-26210: Bộ định tuyến TOTOLink A830R
• CVE-2022-30525: Tường lửa Zyxel USG Flex 100(W)
• CVE-2022-34538: Camera IP MEGApix
• CVE-2022-37061: Máy ảnh cảm biến nhiệt FLIX AX8

Ngoài ra, mạng botnet sử dụng bốn khai thác chưa được gán mã định danh. Hai trong số chúng đang nhắm mục tiêu vào các thiết bị đầu cuối GPON và bộ định tuyến D-Link. Thông tin chi tiết về hai người còn lại hiện chưa rõ ràng.

Chức năng Zerobot

Sau khi thiết lập sự hiện diện của nó trên thiết bị bị xâm nhập, Zerobot thiết lập kết nối WebSocket tới máy chủ chỉ huy và kiểm soát (C2) và gửi một số thông tin cơ bản về nạn nhân.

C2 có thể phản hồi bằng một trong các lệnh sau:

• ping – Nhịp tim, duy trì kết nối
• tấn công – Khởi động cuộc tấn công cho các giao thức khác nhau: TCP, UDP, TLS, HTTP, ICMP
• dừng lại – Ngừng tấn công
• cập nhật – Cài đặt bản cập nhật và khởi động lại Zerobot
• enable_scan – Quét các cổng mở và bắt đầu lây lan thông qua khai thác hoặc SSH/Telnet cracker
• vô hiệu hóa – Vô hiệu hóa chức năng quét
• yêu cầu – Chạy lệnh OS, cmd trên Windows và bash trên Linux
• giết chết – Diệt chương trình botnet

Phần mềm độc hại này cũng sử dụng mô-đun “chống tiêu diệt” được thiết kế để ngăn chặn việc chấm dứt hoặc giết quá trình của nó.

Hiện tại, Zerobot chủ yếu tập trung vào việc phát động các cuộc tấn công DDoS. Tuy nhiên, nó cũng có thể được sử dụng để truy cập ban đầu.

Fortinet cho biết kể từ khi Zerobot xuất hiện lần đầu tiên vào ngày 18 tháng 11, nhà phát triển của nó đã cải thiện nó bằng cách làm xáo trộn chuỗi, mô-đun tệp sao chép, mô-đun tự lan truyền và một số cách khai thác mới.