Una nueva botnet basada en Go llamada Cerobot se ha observado en la naturaleza proliferando aprovechando casi dos docenas de vulnerabilidades de seguridad en dispositivos de Internet de las cosas (IoT) y otro software.
La botnet «contiene varios módulos, incluida la autorreplicación, los ataques para diferentes protocolos y la autopropagación», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dijo. «También se comunica con su servidor de comando y control utilizando el protocolo WebSocket».
La campaña, que se dice que comenzó después del 18 de noviembre de 2022, destaca principalmente al sistema operativo Linux para obtener el control de los dispositivos vulnerables.
Zerobot recibe su nombre de un script de propagación que se utiliza para recuperar la carga útil maliciosa después de obtener acceso a un host según la implementación de su microarquitectura (p. ej., «zero.arm64»).
El malware está diseñado para atacar una amplia gama de arquitecturas de CPU como i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 y s390x.
Hasta la fecha, se han detectado dos versiones de Zerobot: una utilizada antes del 24 de noviembre de 2022, que viene con funciones básicas y una variante actualizada que incluye un módulo de autopropagación para violar otros puntos finales utilizando 21 exploits.
Esto comprende vulnerabilidades que afectan a los enrutadores TOTOLINK, cortafuegos Zyxel, F5 BIG-IP, cámaras Hikvision, cámaras termográficas FLIR AX8, D-Link DNS-320 NAS y Spring Framework, entre otros.
Zerobot, al inicializarse en la máquina comprometida, establece contacto con un servidor remoto de comando y control (C2) y espera más instrucciones que le permitan ejecutar comandos arbitrarios y lanzar ataques para diferentes protocolos de red como TCP, UDP, TLS, HTTP, y ICMP.
«En muy poco tiempo, se actualizó con ofuscación de cadenas, un módulo de archivo de copia y un módulo de explotación de propagación que hacen[s] es más difícil de detectar y le da una mayor capacidad para infectar más dispositivos», dijo Lin.