Zerobot agora se espalha explorando as vulnerabilidades do Apache

26/12/2022 mindsecblog Notícias 0

Zerobot agora se espalha explorando as vulnerabilidades do Apache. O botnet Zerobot foi atualizado para infectar novos dispositivos, explorando vulnerabilidades de segurança que afetam servidores Apache expostos à Internet e não corrigidos.

A equipe de pesquisa do Microsoft Defender para IoT também observou que esta versão mais recente adiciona novos recursos distribuídos de negação de serviço (DDoS).

O Zerobot está em desenvolvimento ativo desde pelo menos novembro, com novas versões adicionando novos módulos e recursos para expandir os vetores de ataque da botnet e facilitar a infecção de novos dispositivos, incluindo firewalls, roteadores e câmeras.

Desde o início de dezembro, os desenvolvedores do malware removeram módulos que visavam servidores phpMyAdmin, roteadores domésticos Dasan GPON e roteadores sem fio D-Link DSL-2750B com exploits de um ano.

A atualização detectada pela Microsoft adiciona novas explorações ao kit de ferramentas do malware, permitindo que ele atinja sete novos tipos de dispositivos e software, incluindo servidores Apache e Apache Spark sem patches.

A lista completa de módulos adicionados ao Zerobot 1.1 inclui:

CVE-2017-17105: Zivif PR115-204-P-RS
CVE-2019-10655: Grandstream
CVE-2020-25223: WebAdmin do Sophos SG UTM
CVE-2021-42013: Apache
CVE-2022-31137: Roxy-WI
CVE-2022-33891: Apache Spark
ZSL-2022-5717: MiniDVBLinux

“Pesquisadores da Microsoft também encontraram novas evidências de que o Zerobot se propaga comprometendo dispositivos com vulnerabilidades conhecidas que não estão incluídas no binário do malware, como CVE-2022-30023, uma vulnerabilidade de injeção de comando nos roteadores Tenda GPON AC1200”, disse o Microsoft Security Threat Intelligence” disse a equipe .

Por último, mas não menos importante, o malware atualizado agora vem com sete novos recursos DDoS, incluindo um método de ataque TCP_XMAS.

método de ataque	Descrição
UDP_RAW	Envia pacotes UDP onde a carga é personalizável.
ICMP_FLOOD	Deve ser uma inundação de ICMP, mas o pacote foi construído incorretamente.
TCP_CUSTOM	Envia pacotes TCP em que a carga útil e os sinalizadores são totalmente personalizáveis.
TCP_SYN	Envia pacotes SYN.
TCP_ACK	Envia pacotes ACK.
TCP_SYNACK	Envia pacotes SYN-ACK.
TCP_XMAS	Ataque à árvore de Natal (todos os sinalizadores TCP estão definidos). O campo de causa de reinicialização é “xmas”.

Esse malware baseado em Go (também chamado de ZeroStresser por seus desenvolvedores) foi detectado pela primeira vez em meados de novembro .

Na época, ele usou cerca de duas dúzias de exploits para infectar vários dispositivos, incluindo F5 BIG-IP, firewalls Zyxel, Totolink, roteadores D-Link e câmeras Hikvision.

Destina-se a muitas arquiteturas de sistema e dispositivos, incluindo i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 e S390x.

O Zerobot se espalha por meio de ataques de força bruta contra dispositivos não seguros com credenciais padrão ou fracas e explora vulnerabilidades em dispositivos e aplicativos da Internet da Internet das Coisas (IoT).

Depois de infectar um sistema, ele baixa um script chamado “zero” que permitirá que ele se propague para dispositivos mais vulneráveis expostos online.

A botnet ganha persistência de dispositivos comprometidos e está sendo usada para lançar ataques DDoS em uma variedade de protocolos, mas também pode fornecer a seus operadores acesso inicial às redes das vítimas.