New Zerobot malware has 21 exploits for BIG-IP, Zyxel, D-Link devices

F5 BIG-IP、Zyxel ファイアウォール、Totolink および D-Link ルーター、Hikvision カメラなど、さまざまなデバイスの約 20 の脆弱性を悪用する「Zerobot」という名前の新しい Go ベースのマルウェアが 11 月中旬に発見されました。

このマルウェアの目的は、侵害されたデバイスを分散型サービス拒否 (DDoS) ボットネットに追加して、特定のターゲットに対して強力な攻撃を開始することです。

Zerobot は、ネットワークをスキャンして隣接するデバイスに自己伝播し、Windows (CMD) または Linux (Bash) でコマンドを実行できます。

Fortinet のセキュリティ研究者は Zerobot を発見し、11 月以降、追加のモジュールと新しい欠陥のエクスプロイトを備えた新しいバージョンが出現したと述べており、マルウェアが活発に開発されていることを示しています。

その方法を悪用する

このマルウェアは、i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64、S390x など、さまざまなシステム アーキテクチャとデバイスを標的にすることができます。

Zerobot は 21 の脆弱性に対するエクスプロイトを組み込み、それらを使用してデバイスへのアクセスを取得します。次に、「ゼロ」という名前のスクリプトをダウンロードして、自己増殖を可能にします。

ゼロ スクリプトを取得して伝播を有効にする
ゼロ スクリプトを取得して伝播を有効にする(Fortinet)

Zerobot は、次のエクスプロイトを使用してターゲットを侵害します。

  • CVE-2014-08361: Realtek SDK の miniigd SOAP サービス
  • CVE-2017-17106: Zivif PR115-204-P-RS ウェブカメラ
  • CVE-2017-17215: Huawei HG523 ルーター
  • CVE-2018-12613: phpMyAdmin
  • CVE-2020-10987: Tenda AC15 AC1900 ルーター
  • CVE-2020-25506: D-Link DNS-320 NAS
  • CVE-2021-35395: Realtek ジャングル SDK
  • CVE-2021-36260 : Hikvision 製品
  • CVE-2021-46422: Telesquare SDT-CW3B1 ルーター
  • CVE-2022-01388: F5 BIG-IP
  • CVE-2022-22965 : Spring MVC および Spring WebFlux (Spring4Shell)
  • CVE-2022-25075: TOTOLink A3000RU ルーター
  • CVE-2022-26186: TOTOLink N600R ルーター
  • CVE-2022-26210: TOTOLink A830R ルーター
  • CVE-2022-30525 : Zyxel USG Flex 100(W) ファイアウォール
  • CVE-2022-34538: MEGApix IP カメラ
  • CVE-2022-37061: FLIX AX8 熱センサー カメラ

さらに、ボットネットは識別子が割り当てられていない 4 つのエクスプロイトを使用します。そのうちの 2 つは、GPON 端末と D-Link ルーターをターゲットにしています。残りの 2 つの詳細については、現時点では不明です。

ゼロボット機能

Zerobot は、侵入先のデバイス上で自身の存在を確立した後、コマンド アンド コントロール (C2) サーバーへの WebSocket 接続を設定し、被害者に関するいくつかの基本情報を送信します。

C2 は、次のいずれかのコマンドで応答する場合があります。

  • ping – 接続を維持するハートビート
  • 攻撃– TCP、UDP、TLS、HTTP、ICMP など、さまざまなプロトコルに対して攻撃を開始します。
  • stop – 攻撃を止める
  • update – アップデートをインストールしてゼロボットを再起動する
  • enable_scan – 開いているポートをスキャンし、エクスプロイトまたは SSH/Telnet クラッカーを介して拡散を開始します
  • disable_scan – スキャンを無効にする
  • command – OS コマンド、Windows では cmd、Linux では bash を実行します
  • kill – ボットネット プログラムを強制終了します

このマルウェアは、プロセスの終了または強制終了を防止するように設計された「アンチキル」モジュールも使用します。

現在、Zerobot は主に DDoS 攻撃の開始に焦点を当てています。ただし、初期アクセスとしても使用できます。

Fortinet によると、Zerobot は 11 月 18 日に初めて登場して以来、開発者が文字列の難読化、コピー ファイル モジュール、自己増殖モジュール、およびいくつかの新しいエクスプロイトで改善してきました。