F5 BIG-IP、Zyxel ファイアウォール、Totolink および D-Link ルーター、Hikvision カメラなど、さまざまなデバイスの約 20 の脆弱性を悪用する「Zerobot」という名前の新しい Go ベースのマルウェアが 11 月中旬に発見されました。
このマルウェアの目的は、侵害されたデバイスを分散型サービス拒否 (DDoS) ボットネットに追加して、特定のターゲットに対して強力な攻撃を開始することです。
Zerobot は、ネットワークをスキャンして隣接するデバイスに自己伝播し、Windows (CMD) または Linux (Bash) でコマンドを実行できます。
Fortinet のセキュリティ研究者は Zerobot を発見し、11 月以降、追加のモジュールと新しい欠陥のエクスプロイトを備えた新しいバージョンが出現したと述べており、マルウェアが活発に開発されていることを示しています。
その方法を悪用する
このマルウェアは、i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64、S390x など、さまざまなシステム アーキテクチャとデバイスを標的にすることができます。
Zerobot は 21 の脆弱性に対するエクスプロイトを組み込み、それらを使用してデバイスへのアクセスを取得します。次に、「ゼロ」という名前のスクリプトをダウンロードして、自己増殖を可能にします。
Zerobot は、次のエクスプロイトを使用してターゲットを侵害します。
- CVE-2014-08361: Realtek SDK の miniigd SOAP サービス
- CVE-2017-17106: Zivif PR115-204-P-RS ウェブカメラ
- CVE-2017-17215: Huawei HG523 ルーター
- CVE-2018-12613: phpMyAdmin
- CVE-2020-10987: Tenda AC15 AC1900 ルーター
- CVE-2020-25506: D-Link DNS-320 NAS
- CVE-2021-35395: Realtek ジャングル SDK
- CVE-2021-36260 : Hikvision 製品
- CVE-2021-46422: Telesquare SDT-CW3B1 ルーター
- CVE-2022-01388: F5 BIG-IP
- CVE-2022-22965 : Spring MVC および Spring WebFlux (Spring4Shell)
- CVE-2022-25075: TOTOLink A3000RU ルーター
- CVE-2022-26186: TOTOLink N600R ルーター
- CVE-2022-26210: TOTOLink A830R ルーター
- CVE-2022-30525 : Zyxel USG Flex 100(W) ファイアウォール
- CVE-2022-34538: MEGApix IP カメラ
- CVE-2022-37061: FLIX AX8 熱センサー カメラ
さらに、ボットネットは識別子が割り当てられていない 4 つのエクスプロイトを使用します。そのうちの 2 つは、GPON 端末と D-Link ルーターをターゲットにしています。残りの 2 つの詳細については、現時点では不明です。
ゼロボット機能
Zerobot は、侵入先のデバイス上で自身の存在を確立した後、コマンド アンド コントロール (C2) サーバーへの WebSocket 接続を設定し、被害者に関するいくつかの基本情報を送信します。
C2 は、次のいずれかのコマンドで応答する場合があります。
- ping – 接続を維持するハートビート
- 攻撃– TCP、UDP、TLS、HTTP、ICMP など、さまざまなプロトコルに対して攻撃を開始します。
- stop – 攻撃を止める
- update – アップデートをインストールしてゼロボットを再起動する
- enable_scan – 開いているポートをスキャンし、エクスプロイトまたは SSH/Telnet クラッカーを介して拡散を開始します
- disable_scan – スキャンを無効にする
- command – OS コマンド、Windows では cmd、Linux では bash を実行します
- kill – ボットネット プログラムを強制終了します
このマルウェアは、プロセスの終了または強制終了を防止するように設計された「アンチキル」モジュールも使用します。
現在、Zerobot は主に DDoS 攻撃の開始に焦点を当てています。ただし、初期アクセスとしても使用できます。
Fortinet によると、Zerobot は 11 月 18 日に初めて登場して以来、開発者が文字列の難読化、コピー ファイル モジュール、自己増殖モジュール、およびいくつかの新しいエクスプロイトで改善してきました。
Comments