بهرهبرداری بدافزار جدید Zerobot از ۲۱ اکسپلویت در دستگاههای D-Link، Zyxel، BIG-IP و سایرین
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک بدافزار جدید مبتنی بر زبان Go به نام «Zerobot» در اواسط نوامبر در حال سواستفاده از اکسپلویتهای متعدد برای دهها آسیبپذیری در دستگاههای مختلف ازجمله F5 BIG-IP، فایروالهای Zyxel، روترهای Totolink و D-Link و دوربینهای Hikvision مشاهده شده است.
هدف این بدافزار اضافه کردن دستگاههای آسیبدیده به باتنت distributed denial -of-service (DDoS) برای انجام حملات قدرتمند علیه اهداف مشخص است.
بدافزار Zerobot میتواند شبکه را اسکن کند و خود را بهدستگاههای مجاور نشر دهد و همچنین دستورات را در ویندوز (CMD) یا لینوکس (Bash) اجرا کند.
محققان امنیتی در Fortinet، بدافزار Zerobot را کشف کردند و میگویند که از نوامبر نسخه جدیدی با ماژولها و امکان سواستفادههای اضافی برای نقص جدید ظاهر شده است که نشان میدهد بدافزار به شکل فعالی در حال توسعه است.
بهرهبرداری به روش خاص خود
این بدافزار میتواند طیف وسیعی از معماریها و دستگاههای سیستم، ازجمله i386، AMD64، ARM، ARM64، MIPS، MIPS64، MIPS64le، MIPSle، PPC64، PPC64le، RISC64 و S390x را هدف قرار دهد.
بدافزار Zerobot دارای اکسپلویت برای ٢١ آسیبپذیری است و از آنها برای دسترسی بهدستگاه استفاده میکند. سپس یک اسکریپت به نام "zero" را دانلود میکند، که به آن اجازه میدهد تا خود منتشر شود.
بدافزار Zerobot از اکسپلویتهای زیر برای شکستن اهداف خود استفاده میکند :
CVE-2014-08361 : سرویس miniigd SOAP در Realtek SDK
CVE-2017-17106 : وب کمZivif PR115-204-P-RS
CVE-2017-17215 : روتر هواوی HG523
CVE-2018-12613 : phpMyAdmin
CVE-2020-10987 : روتر Tenda AC15 AC1900
CVE-2020-25506 : D-Link DNS-320 NAS
CVE-2021-35395 : Realtek Jungle SDK
CVE-2021-36260 : محصول هایک ویژن
CVE-2021-46422 : روتر Telesquare SDT-CW3B1
CVE-2022-01388 : F5 BIG-IP
CVE-2022-22965 : Spring MVC و Spring WebFlux (Spring4Shell)
CVE-2022-25075 : روتر TOTOLink A3000RU
CVE-2022-26186 : روتر TOTOLink N600R
CVE-2022-26210 : روتر TOTOLink A830R
CVE-2022-30525 : فایروال Zyxel USG Flex 100 (W)
CVE-2022-34538 : دوربینهای IP MEGApix
CVE-2022-37061 : دوربینهای سنسور حرارتی FLIX AX8
بعلاوه، بات نت از چهار اکسپلویت استفاده میکند که به آنها شناسه اختصاص داده نشده است. دو مورد از آنها ترمینالهای GPON و روترهای D-Link را هدف قرار میدهند. جزئیات در مورد دو گزینه دیگر در حال حاضر نامشخص است.
فانکشنهای Zerobot
پس از اینکه Zerobot حضور خود را در دستگاه در معرض خطر تثبیت کرد، یک اتصال WebSocket را به سرور Command-and-Control (C2) تنظیم میکند و برخی از اطلاعات اولیه را درباره قربانی ارسال میکند.
سرور C2 ممکن است با یکی از دستورات زیر پاسخ دهد :
Ping – پینگ، حفظ اتصال
Attack – راه اندازی حمله برای پروتکلهای مختلف : TCP، UDP، TLS، HTTP، ICMP
Stop – توقف حمله
Update – نصب بروزرسانی و راهاندازی مجدد Zerobot
enable_scan – پورتهای باز را اسکن کرده و از طریق اکسپلویت یا کرکر SSH/Telnet شروع به پخش شدن میکند
disable_scan - غیرفعال کردن اسکن
Command – کامند OS، cmd را در ویندوز و bash را در لینوکس اجرا میکند
kill - برنامه بات نت را میکشد
این بدافزار همچنین از یک ماژول "anti-kill" استفاده میکند که برای جلوگیری از خاتمه یا از بین بردن روند آن طراحی شده است.
در حال حاضر Zerobot عمدتا بر روی راه اندازی حملات DDoS متمرکز است. بااینحال، میتوان از آن برای دسترسی اولیه نیز استفاده کرد.
مجموعه Fortinet میگوید از زمانی که Zerobot برای اولینبار در ١٨ نوامبر ظاهر شد، توسعهدهنده این بدافزار، آن را با مبهمسازی استرینگ، یک ماژول فایل کپی، یک ماژول خود انتشار و چندین اکسپلویت جدید، بهبود داده است.
برچسب ها: WebSocket, GPON, zero, S390x, i386, AMD64, ARM64, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64, Totolink, F5 BIG-IP, BIG-IP, Zerobot, Realtek, ARM, Zyxel Firewall, Spring4Shell, cmd, هواوی, D-Link, Exploit, Hikvision, MIPS, باتنت, Zyxel, Linux, لینوکس, Ping, Bash, اکسپلویت, windows, ویندوز, malware, router, DDoS, دفاع سایبری, Cyber Security, روتر, فایروال, Botnet, firewall, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news