br>
Một phần mềm độc hại dựa trên Go mới có tên ‘Zerobot’ đã được phát hiện vào giữa tháng 11 bằng cách khai thác gần hai chục lỗ hổng trong nhiều loại thiết bị bao gồm F5 BIG-IP, tường lửa Zyxel, bộ định tuyến Totolink và D-Link cũng như camera Hikvision.
Mục đích của phần mềm độc hại là thêm các thiết bị bị xâm nhập vào mạng botnet tấn công từ chối dịch vụ (DDoS) phân tán để khởi động các cuộc tấn công mạnh mẽ nhằm vào các mục tiêu được chỉ định.
Zerobot có thể quét mạng và tự lan truyền đến các thiết bị lân cận cũng như chạy lệnh trên Windows (CMD) hoặc Linux (Bash).
Các nhà nghiên cứu bảo mật tại Fortinet đã phát hiện ra Zerobot và nói rằng kể từ tháng 11, một phiên bản mới đã xuất hiện với các mô-đun bổ sung và cách khai thác lỗ hổng mới, cho thấy phần mềm độc hại này đang được phát triển tích cực.
Phần mềm độc hại có thể nhắm mục tiêu một loạt các kiến trúc hệ thống và thiết bị, bao gồm i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 và S390x.
Zerobot kết hợp khai thác 21 lỗ hổng và sử dụng chúng để giành quyền truy cập vào thiết bị. Sau đó, nó tải xuống một tập lệnh có tên là “zero”, cho phép nó tự lan truyền.
Zerobot sử dụng các cách khai thác sau để vi phạm các mục tiêu của nó:
Ngoài ra, mạng botnet sử dụng bốn khai thác chưa được gán mã định danh. Hai trong số chúng đang nhắm mục tiêu vào các thiết bị đầu cuối GPON và bộ định tuyến D-Link. Thông tin chi tiết về hai người còn lại hiện chưa rõ ràng.
Sau khi thiết lập sự hiện diện của nó trên thiết bị bị xâm nhập, Zerobot thiết lập kết nối WebSocket tới máy chủ chỉ huy và kiểm soát (C2) và gửi một số thông tin cơ bản về nạn nhân.
C2 có thể phản hồi bằng một trong các lệnh sau:
Phần mềm độc hại này cũng sử dụng mô-đun “chống tiêu diệt” được thiết kế để ngăn chặn việc chấm dứt hoặc giết quá trình của nó.
Hiện tại, Zerobot chủ yếu tập trung vào việc phát động các cuộc tấn công DDoS. Tuy nhiên, nó cũng có thể được sử dụng để truy cập ban đầu.
Fortinet cho biết kể từ khi Zerobot xuất hiện lần đầu tiên vào ngày 18 tháng 11, nhà phát triển của nó đã cải thiện nó bằng cách làm xáo trộn chuỗi, mô-đun tệp sao chép, mô-đun tự lan truyền và một số cách khai thác mới.