Zerobot agora se espalha explorando as vulnerabilidades do Apache

Zerobot agora se espalha explorando as vulnerabilidades do Apache. O botnet Zerobot foi atualizado para infectar novos dispositivos, explorando vulnerabilidades de segurança que afetam servidores Apache expostos à Internet e não corrigidos.

A equipe de pesquisa do Microsoft Defender para IoT também observou que esta versão mais recente adiciona novos recursos distribuídos de negação de serviço (DDoS).

O Zerobot está em desenvolvimento ativo desde pelo menos novembro, com novas versões adicionando novos módulos e recursos para expandir os vetores de ataque da botnet e facilitar a infecção de novos dispositivos, incluindo firewalls, roteadores e câmeras.

Desde o início de dezembro, os desenvolvedores do malware removeram módulos que visavam servidores phpMyAdmin, roteadores domésticos Dasan GPON e roteadores sem fio D-Link DSL-2750B com exploits de um ano.

A atualização detectada pela Microsoft adiciona novas explorações ao kit de ferramentas do malware, permitindo que ele atinja sete novos tipos de dispositivos e software, incluindo servidores Apache e Apache Spark sem patches.

A lista completa de módulos adicionados ao Zerobot 1.1 inclui:

  • CVE-2017-17105: Zivif PR115-204-P-RS
  • CVE-2019-10655: Grandstream
  • CVE-2020-25223: WebAdmin do Sophos SG UTM
  • CVE-2021-42013: Apache
  • CVE-2022-31137: Roxy-WI
  • CVE-2022-33891: Apache Spark
  • ZSL-2022-5717: MiniDVBLinux

Pesquisadores da Microsoft também encontraram novas evidências de que o Zerobot se propaga comprometendo dispositivos com vulnerabilidades conhecidas que não estão incluídas no binário do malware, como CVE-2022-30023, uma vulnerabilidade de injeção de comando nos roteadores Tenda GPON AC1200”, disse o Microsoft Security Threat Intelligence” disse a equipe .

Por último, mas não menos importante, o malware atualizado agora vem com sete novos recursos DDoS, incluindo um método de ataque TCP_XMAS.

método de ataque Descrição
UDP_RAW Envia pacotes UDP onde a carga é personalizável.
ICMP_FLOOD Deve ser uma inundação de ICMP, mas o pacote foi construído incorretamente.
TCP_CUSTOM Envia pacotes TCP em que a carga útil e os sinalizadores são totalmente personalizáveis.
TCP_SYN Envia pacotes SYN.
TCP_ACK Envia pacotes ACK.
TCP_SYNACK Envia pacotes SYN-ACK.
TCP_XMAS Ataque à árvore de Natal (todos os sinalizadores TCP estão definidos). O campo de causa de reinicialização é “xmas”.

Esse malware baseado em Go (também chamado de ZeroStresser por seus desenvolvedores) foi  detectado pela primeira vez em meados de novembro . 

Na época, ele usou cerca de duas dúzias de exploits para infectar vários dispositivos, incluindo F5 BIG-IP, firewalls Zyxel, Totolink, roteadores D-Link e câmeras Hikvision.

Destina-se a muitas arquiteturas de sistema e dispositivos, incluindo i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 e S390x.

O Zerobot se espalha por meio de ataques de força bruta contra dispositivos não seguros com credenciais padrão ou fracas e explora vulnerabilidades em dispositivos e aplicativos da Internet da Internet das Coisas (IoT). 

Depois de infectar um sistema, ele baixa um script chamado “zero” que permitirá que ele se propague para dispositivos mais vulneráveis ​​expostos online.

A botnet ganha persistência de dispositivos comprometidos e está sendo usada para lançar ataques DDoS em uma variedade de protocolos, mas também pode fornecer a seus operadores acesso inicial às redes das vítimas.

Fonte: Bleeping Computer

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!