adlı yeni bir Go tabanlı botnet sıfırbot nesnelerin interneti (IoT) cihazlarında ve diğer yazılımlarda yaklaşık iki düzine güvenlik açığından yararlanılarak vahşi doğada çoğaldığı gözlemlendi.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, botnet “kendi kendini çoğaltma, farklı protokoller için saldırılar ve kendi kendine yayılma dahil olmak üzere birkaç modül içeriyor” söz konusu. “Ayrıca WebSocket protokolünü kullanarak komuta ve kontrol sunucusuyla iletişim kurar.”
18 Kasım 2022’den sonra başladığı söylenen kampanya, savunmasız cihazların kontrolünü ele geçirmek için öncelikle Linux işletim sistemini seçiyor.
Zerobot, adını, mikro mimari uygulamasına bağlı olarak bir ana bilgisayara erişim sağladıktan sonra kötü amaçlı yükü geri almak için kullanılan bir yayma komut dosyasından alır (örneğin, “zero.arm64”).
Kötü amaçlı yazılım, i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 ve s390x gibi çok çeşitli CPU mimarilerini hedeflemek üzere tasarlanmıştır.
Bugüne kadar Zerobot’un iki sürümü tespit edildi: 24 Kasım 2022’den önce kullanılan, temel işlevlerle birlikte gelen ve 21 açıktan yararlanma kullanarak diğer uç noktaları ihlal etmek için kendi kendine yayılan bir modül içeren güncellenmiş bir varyant.
Bu, diğerleri arasında TOTOLINK yönlendiricilerini, Zyxel güvenlik duvarlarını, F5 BIG-IP’yi, Hikvision kameraları, FLIR AX8 termal görüntüleme kameralarını, D-Link DNS-320 NAS’ı ve Spring Framework’ü etkileyen güvenlik açıklarını içerir.
Zerobot, güvenliği ihlal edilmiş makinede başlatıldıktan sonra, uzak bir komut ve kontrol (C2) sunucusuyla bağlantı kurar ve TCP, UDP, TLS, HTTP gibi farklı ağ protokolleri için rasgele komutlar çalıştırmasına ve saldırılar başlatmasına izin veren diğer talimatları bekler. ve ICMP’dir.
“Çok kısa bir süre içinde, dize gizleme, bir kopya dosya modülü ve bir yayma istismar modülü ile güncellendi.[s] tespit edilmesi daha zor ve ona daha fazla cihaza bulaşma yeteneği veriyor,” dedi Lin.
