Él Cerobot La botnet DDoS ha recibido actualizaciones sustanciales que amplían su capacidad para apuntar a más dispositivos conectados a Internet y escalar su red.
Microsoft Threat Intelligence Center (MSTIC) está rastreando la amenaza en curso bajo el nombre DEV-1061, su designación para grupos de actividad desconocidos, emergentes o en desarrollo.
Zerobot, documentado por primera vez por Fortinet FortiGuard Labs a principios de este mes, es un malware basado en Go que se propaga a través de vulnerabilidades en aplicaciones web y dispositivos IoT como firewalls, enrutadores y cámaras.
“La distribución más reciente de Zerobot incluye capacidades adicionales, como la explotación de vulnerabilidades en Apache y Apache Spark (CVE-2021-42013 y CVE-2022-33891 respectivamente), y nuevas capacidades de ataque DDoS”, investigadores de Microsoft dijo.
También llamado ZeroStresser por sus operadores, el malware se ofrece como un servicio DDoS de alquiler a otros actores criminales, con la botnet anunciada para la venta en varias redes sociales.
Microsoft dijo que un dominio con conexiones a Zerobot – zerostresser[.]com – fue uno de los 48 dominios que fueron incautados por la Oficina Federal de Investigaciones (FBI) de EE. UU. este mes por ofrecer funciones de ataque DDoS a clientes que pagan.
La última versión de Zerobot detectada por Microsoft no solo apunta a dispositivos sin parches y protegidos incorrectamente, sino que también intenta aplicar fuerza bruta sobre SSH y Telnet en los puertos 23 y 2323 para propagarse a otros hosts.
La lista de fallas conocidas recientemente agregadas explotadas por Zerobot 1.1 es la siguiente:
- CVE-2017-17105 (Puntuación CVSS: 9,8) – Una vulnerabilidad de inyección de comando en Zivif PR115-204-P-RS
- CVE-2019-10655 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado en Grandstream GAC2500, GXP2200, GVC3202, GXV3275 y GXV3240
- CVE-2020-25223 (Puntuación CVSS: 9,8) – Una vulnerabilidad de ejecución remota de código en WebAdmin de Sophos SG UTM
- CVE-2021-42013 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código en el servidor Apache HTTP
- CVE-2022-31137 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código en Roxy-WI
- CVE-2022-33891 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de comandos no autenticada en Apache Spark
- ZSL-2022-5717 (Puntuación CVSS: N/A) – Una vulnerabilidad de inyección de comando raíz remoto en MiniDVBLinux
Tras una infección exitosa, la cadena de ataque procede a descargar un binario llamado “cero” para una arquitectura de CPU específica que le permite autopropagarse a sistemas más susceptibles expuestos en línea.
Además, se dice que Zerobot prolifera escaneando y comprometiendo dispositivos con vulnerabilidades conocidas que no están incluidas en el ejecutable del malware, como CVE-2022-30023una vulnerabilidad de inyección de comandos en los enrutadores Tenda GPON AC1200.
Zerobot 1.1 incorpora además siete nuevos métodos de ataque DDoS al hacer uso de protocolos como UDP, ICMP y TCP, lo que indica una “evolución continua y una rápida adición de nuevas capacidades”.
“El cambio hacia el malware como servicio en la economía cibernética ha industrializado los ataques y ha facilitado que los atacantes compren y usen malware, establezcan y mantengan el acceso a redes comprometidas y utilicen herramientas preparadas para realizar sus ataques”, dijo el técnico. dijo el gigante.