Zerobot ボットネットは、インターネットに公開されパッチが適用されていない Apache サーバーに影響を与えるセキュリティの脆弱性を悪用して、新しいデバイスに感染するようにアップグレードされています。
Microsoft Defender for IoT 研究チームは、この最新バージョンが新しい分散型サービス拒否 (DDoS) 機能を追加していることも確認しました。
Zerobot は少なくとも 11 月から活発に開発されており、新しいバージョンではボットネットの攻撃ベクトルを拡大し、ファイアウォール、ルーター、カメラなどの新しいデバイスへの感染を容易にする新しいモジュールと機能が追加されています。
12 月初旬以降、このマルウェアの開発者は、phpMyAdmin サーバー、Dasan GPON ホーム ルーター、および D-Link DSL-2750B ワイヤレス ルーターを対象とした 1 年前のエクスプロイトを含むモジュールを削除しました。
マイクロソフトが発見した更新プログラムは、マルウェアのツールキットに新しいエクスプロイトを追加し、パッチが適用されていない Apache および Apache Spark サーバーを含む、7 つの新しいタイプのデバイスとソフトウェアを標的にすることを可能にします。
Zerobot 1.1 に追加されたモジュールの完全なリストには、以下が含まれます。
- CVE-2017-17105: Zivif PR115-204-P-RS
- CVE-2019-10655: グランドストリーム
- CVE-2020-25223: Sophos SG UTM の WebAdmin
- CVE-2021-42013: アパッチ
- CVE – 2022 – 31137 : ロキシー – WI
- CVE-2022-33891: アパッチ スパーク
- ZSL-2022-5717: MiniDVBLinux
「Microsoft の研究者は、Tenda GPON AC1200 ルーターのコマンド インジェクションの脆弱性である CVE-2022-30023 など、マルウェア バイナリには含まれていない既知の脆弱性を持つデバイスを侵害することによって、Zerobot が拡散するという新しい証拠も発見しました。」チームは言った。
最後になりましたが、更新されたマルウェアには、TCP_XMAS 攻撃方法を含む 7 つの新しい DDoS 機能が含まれています。
| 攻撃方法 | 説明 |
| UDP_RAW | ペイロードがカスタマイズ可能な UDP パケットを送信します。 |
| ICMP_FLOOD | ICMP フラッドと思われますが、パケットが正しく構築されていません。 |
| TCP_CUSTOM | ペイロードとフラグが完全にカスタマイズ可能な TCP パケットを送信します。 |
| TCP_SYN | SYN パケットを送信します。 |
| TCP_ACK | ACK パケットを送信します。 |
| TCP_SYNACK | SYN-ACK パケットを送信します。 |
| TCP_XMAS | クリスマス ツリー攻撃 (すべての TCP フラグが設定されています)。リセット原因フィールドは「xmas」です。 |
この Go ベースのマルウェア (開発者によって ZeroStresser とも呼ばれる) は、11 月中旬に初めて発見されました。
当時、約 20 のエクスプロイトを使用して、F5 BIG-IP、Zyxel ファイアウォール、Totolink、D-Link ルーター、Hikvision カメラなどのさまざまなデバイスに感染していました。
i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64、S390x など、多くのシステム アーキテクチャとデバイスを対象としています。
Zerobot は、既定の認証情報または脆弱な認証情報を持つセキュリティで保護されていないデバイスに対するブルート フォース攻撃によって拡散し、モノのインターネット (IoT) デバイスおよび Web アプリケーションの脆弱性を悪用します。
システムに感染すると、「ゼロ」という名前のスクリプトをダウンロードし、オンラインで公開されているより脆弱なデバイスに自己増殖できるようにします。
ボットネットは侵害されたデバイスの持続性を獲得し、さまざまなプロトコルで DDoS 攻撃を開始するために使用されていますが、オペレーターに被害者のネットワークへの初期アクセスを提供することもできます。
Comments