Το Zerobot botnet έχει ενημερωθεί για να μπορεί να εκμεταλλευτεί τα κενά ασφαλείας σε servers Apache που δεν έχουν διορθωθεί, επιτρέποντάς του να μολύνει ακόμη περισσότερες συσκευές.
Η ερευνητική ομάδα του Microsoft Defender for IoT παρατήρησε επίσης ότι αυτή η πρόσφατη έκδοση εφάρμοσε πρόσθετες δυνατότητες distributed denial-of-service (DDoS).
Δείτε επίσης: Play ransomware: Εκμεταλλεύτηκε exploit του Microsoft Exchange
Το Zerobot βρίσκεται υπό ενεργό ανάπτυξη τουλάχιστον από τον Νοέμβριο, με νέες εκδόσεις να προσθέτουν νέα modules και δυνατότητες για να επεκτείνουν τα διανύσματα επίθεσης του botnet και να διευκολύνουν τη μόλυνση νέων συσκευών, συμπεριλαμβανομένων των firewall, των router και των καμερών.
Ξεκινώντας στις αρχές Δεκεμβρίου, οι συγγραφείς κακόβουλου λογισμικού αφαίρεσαν modules που λειτουργούσαν σε servers phpMyAdmin και σε οικιακά routers Dasan GPON, καθώς και σε ασύρματα routers D-Link DSL-2750B, εκμεταλλευόμενοι ευπάθειες ενός έτους.
Η Microsoft αποκάλυψε μια νέα ενημέρωση στην εργαλειοθήκη του κακόβουλου λογισμικού, που το εξοπλίζει με ακόμη περισσότερα όπλα. Οι χάκερ μπορούν να στοχεύσουν επτά νέους τύπους συσκευών και λογισμικού, συμπεριλαμβανομένων των unpatched server Apache και Apache Spark.
Δείτε επίσης: The Guardian: Θύμα ransomware επίθεσης η βρετανική εφημερίδα;
Το Zerobot 1.1 περιλαμβάνει μια εντυπωσιακή σειρά από modules, συμπεριλαμβανομένων των εξής:
- CVE-2017-17105: Zivif PR115-204-P-RS
- CVE-2019-10655: Grandstream
- CVE-2020-25223: WebAdmin of Sophos SG UTM
- CVE-2021-42013: Apache
- CVE-2022-31137: Roxy-WI
- CVE-2022-33891: Apache Spark
- ZSL-2022-5717: MiniDVBLinux
Τέλος, το αναβαθμισμένο κακόβουλο λογισμικό διαθέτει πλέον επτά προηγμένες δυνατότητες DDoS, συμπεριλαμβανομένης μιας καινοτόμου τεχνικής επίθεσης TCP_XMAS.
Αυτό το κακόβουλο λογισμικό που δημιουργήθηκε χρησιμοποιώντας τη γλώσσα Go ονομάστηκε ZeroStresser από τους δημιουργούς του εντοπίστηκε στα μέσα Νοεμβρίου.
Κατά τη στιγμή της ανακάλυψής του, αυτό το κακόβουλο λογισμικό χρησιμοποιούσε περίπου δύο δωδεκάδες exploits για να στοχεύσει συσκευές όπως F5 BIG-IP, firewalls Zyxel, router Totolink , κάμερες D-Link και προϊόντα Hikvision.
Από i386 έως AMD64, ARM και ARM64 έως MIPS, MIPSle και PPC64, RISC64 και S390x – αυτό το σύστημα έχει σχεδιαστεί για ένα ευρύ φάσμα αρχιτεκτονικών και συσκευών.
Το Zerobot εξαπλώνεται μέσω επιθέσεων brute force εναντίον επισφαλών συσκευών με προεπιλεγμένα ή αδύναμα credentials και εκμεταλλεύεται ευπάθειες σε συσκευές Internet of Things (IoT) και web applications.
Δείτε επίσης: Okta – πηγαίος κώδικας: Εκλάπη από τα repositories στο GitHub
Μόλις ένα σύστημα μολυνθεί, κατεβάζει ένα script που ονομάζεται “zero” και επιτρέπει στον ιό να εξαπλωθεί και να στοχεύσει άλλες ευάλωτες συσκευές που είναι διαθέσιμες στο διαδίκτυο.
Το botnet εξασφαλίζει persistence στα διεισδυτικά gadgets, αποδεικνύοντας ότι είναι ένα ισχυρό εργαλείο για την εκτέλεση επιθέσεων DDoS μεγάλης κλίμακας μέσω διαφόρων πρωτοκόλλων.
Σε ότι αφορά τον Apache server παραμένει ένας από τους πιο δημοφιλείς διακομιστές ιστού που είναι διαθέσιμοι σήμερα λόγω της αξιοπιστίας, της επεκτασιμότητας, της οικονομικής αποδοτικότητας και της ικανότητάς του να παρέχει δυναμικό περιεχόμενο γρήγορα και εύκολα.
Πηγή πληροφοριών: bleepingcomputer.com
