Основы Интернет - технологий.

Новый ботнет Zerobot, написанный Go, распространяется через эксплуатацию почти двух десятков уязвимостей в IoT-устройствах и различном ПО (включая F5 BIG-IP, брандмауэры Zyxel, маршрутизаторы Totolink и D-Link, а также камеры Hikvision).

Аналитики Fortinet сообщают, что ботнет имеет несколько модулей, в том числе для саморепликации, самораспространения и атак на различные протоколы. Также известно, что он связывается со своими управляющими серверами, используя WebSocket.

Атаки новой малвари начались 18 ноября 2022 года и нацелены на различные архитектуры, включая i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 и S390x. Свое название Zerobot получил благодаря скрипту, который использует для распространения и извлечения вредоносной полезной нагрузки после получения доступа к хосту (например, «zero.arm64»).

На сегодняшний день обнаружены две версии Zerobot: одна, использовавшаяся до 24 ноября 2022 года, с базовыми функциями, а также обновленная версия, включающая модуль для самораспространения и взлома других конечных точек.

В своих атаках вторая версия малвари задействует эксплоиты для 21 уязвимости и использует их для получения доступа к устройствам. Затем вредонос загружает скрипт, содержащий «zero» в названии, который позволяет ему распространяться дальше самостоятельно.

Исследователи перечисляют, что Zerobot эксплуатирует следующие уязвимости:

• CVE-2014-08361: miniigd SOAP сервис в Realtek SDK;


• CVE-2017-17106: веб-камеры Zivif PR115-204-P-RS;


• CVE-2017-17215: роутер Huawei HG523;


• CVE-2018-12613: phpMyAdmin;


• CVE-2020-10987: роутер Tenda AC15 AC1900;


• CVE-2020-25506: NAS D-Link DNS-320;


• CVE-2021-35395: Realtek Jungle SDK;


• CVE-2021-36260: продукты Hikvision;


• CVE-2021-46422: роутер Telesquare SDT-CW3B1;


• CVE-2022-01388: F5 BIG-IP;


• CVE-2022-22965: Spring MVC и Spring WebFlux (уязвимость Spring4Shell);


• CVE-2022-25075: роутер TOTOLink A3000RU;


• CVE-2022-26186: роутер TOTOLink N600R;


• CVE-2022-26210: роутер TOTOLink A830R;


• CVE-2022-30525: брандмауэр Zyxel USG Flex 100(W);


• CVE-2022-34538: камеры MEGApix IP;


• CVE-2022-37061: камеры с тепловизором FLIX AX8.

Кроме того, ботнет использует еще четыре эксплоита для багов, которым не присвоены идентификаторы CVE. Две из этих уязвимостей связаны с терминалами GPON и маршрутизаторами D-Link. Подробностей о других пока нет.

Закрепившись на скомпрометированном устройстве, Zerobot связывается с управляющим сервером и передает своим операторам базовую информацию о жертве. C&C может ответить одной из следующих команд:

• ping — поддерживать соединение;


• attack — запуск атаки для разных протоколов (TCP, UDP, TLS, HTTP, ICMP);


• stop — остановить атаку;


• update — установить обновление и перезапустить Zerobot;


• enable_scan — сканировать открытые порты и начать распространяться через эксплоиты или брутфорс SSH/Telnet;.


• disable_scan — остановить сканирование;


• command — выполнить команду (cmd в Windows и bash в Linux).


• kill — ликвидировать бота.

Также исследователи пишут, что малварь обладает модулем anti-kill, который предназначен для предотвращения завершения или уничтожения его процесса.

Пока Zerobot ориентирован на организацию DDoS-атак, однако в отчете отмечается, что его можно использовать и в качестве вектора первоначального доступа к сетям жертв.