 |
La red de bots DDoS Zerobot ha recibido actualizaciones sustanciales que amplían su capacidad para atacar a más dispositivos conectados a Internet y escalar su red. El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) está rastreando la amenaza en curso bajo el apodo DEV-1061, su designación para clusters de actividad desconocidos, emergentes o en desarrollo. |
Zerobot, documentado por primera vez por Fortinet FortiGuard Labs a principios de este mes, es un malware basado en Go que se propaga a través de vulnerabilidades en aplicaciones web y dispositivos IoT como firewalls, routers y cámaras.
"La distribución más reciente de Zerobot incluye capacidades adicionales, como explotar vulnerabilidades en Apache y Apache Spark (CVE-2021-42013 y CVE-2022-33891 respectivamente), y nuevas capacidades de ataque DDoS", señalaron los investigadores de Microsoft.
También llamado ZeroStresser por sus operadores, el malware se ofrece como un servicio DDoS de alquiler a otros actores criminales, con la botnet anunciada a la venta en varias redes sociales.
Microsoft señaló que un dominio con conexiones a Zerobot -zerostresser[.]com- figuraba entre los 48 dominios incautados este mes por la Oficina Federal de Investigaciones (FBI) de Estados Unidos por ofrecer funciones de ataque DDoS a clientes de pago.
La última versión de Zerobot detectada por Microsoft no sólo se dirige a dispositivos sin parches y mal protegidos, sino que también intenta la fuerza bruta a través de SSH y Telnet en los puertos 23 y 2323 para propagarse a otros hosts.
La lista de fallos conocidos añadidos recientemente y explotados por Zerobot 1.1 es la siguiente
- CVE-2017-17105 (puntuación CVSS: 9,8) - Una vulnerabilidad de inyección de comandos en Zivif PR115-204-P-RS
- CVE-2019-10655 (puntuación CVSS: 9,8) - Una vulnerabilidad de ejecución remota de código no autenticada en Grandstream GAC2500, GXP2200, GVC3202, GXV3275 y GXV3240
- CVE-2020-25223 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código en WebAdmin de Sophos SG UTM
- CVE-2021-42013 (puntuación CVSS: 9,8) - Vulnerabilidad de ejecución remota de código en el servidor HTTP Apache
- CVE-2022-31137 (puntuación CVSS: 9,8) - Vulnerabilidad de ejecución remota de código en Roxy-WI
- CVE-2022-33891 (CVSS score: 8.8) - Una vulnerabilidad de inyección de comandos no autenticada en Apache Spark
- ZSL-2022-5717 (puntuación CVSS: N/A) - Vulnerabilidad de inyección remota de comandos root en MiniDVBLinux.
Tras una infección exitosa, la cadena de ataque procede a descargar un binario llamado "cero" para una arquitectura de CPU específica que le permite autopropagarse a más sistemas susceptibles expuestos en línea.
Además, se dice que Zerobot prolifera escaneando y comprometiendo dispositivos con vulnerabilidades conocidas que no están incluidas en el ejecutable del malware, como CVE-2022-30023, una vulnerabilidad de inyección de comandos en los routers Tenda GPON AC1200.
Zerobot 1.1 incorpora además siete nuevos métodos de ataque DDoS haciendo uso de protocolos como UDP, ICMP y TCP, lo que indica "una evolución continua y una rápida adición de nuevas capacidades".
"El cambio hacia el malware como servicio en la cibereconomía ha industrializado los ataques y ha facilitado a los atacantes la compra y el uso de malware, el establecimiento y el mantenimiento del acceso a redes comprometidas y la utilización de herramientas ya preparadas para llevar a cabo sus ataques", afirma el gigante tecnológico.
Fuente: https://thehackernews.com/2022/12/zerobot-botnet-emerges-as-growing.html