La botnet Zerobot se perfila como una amenaza creciente con nuevos exploits y funcionalidades

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 
La red de bots DDoS Zerobot ha recibido actualizaciones sustanciales que amplían su capacidad para atacar a más dispositivos conectados a Internet y escalar su red.

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) está rastreando la amenaza en curso bajo el apodo DEV-1061, su designación para clusters de actividad desconocidos, emergentes o en desarrollo.

 

Zerobot, documentado por primera vez por Fortinet FortiGuard Labs a principios de este mes, es un malware basado en Go que se propaga a través de vulnerabilidades en aplicaciones web y dispositivos IoT como firewalls, routers y cámaras.

"La distribución más reciente de Zerobot incluye capacidades adicionales, como explotar vulnerabilidades en Apache y Apache Spark (CVE-2021-42013 y CVE-2022-33891 respectivamente), y nuevas capacidades de ataque DDoS", señalaron los investigadores de Microsoft.

También llamado ZeroStresser por sus operadores, el malware se ofrece como un servicio DDoS de alquiler a otros actores criminales, con la botnet anunciada a la venta en varias redes sociales.

Microsoft señaló que un dominio con conexiones a Zerobot -zerostresser[.]com- figuraba entre los 48 dominios incautados este mes por la Oficina Federal de Investigaciones (FBI) de Estados Unidos por ofrecer funciones de ataque DDoS a clientes de pago.

La última versión de Zerobot detectada por Microsoft no sólo se dirige a dispositivos sin parches y mal protegidos, sino que también intenta la fuerza bruta a través de SSH y Telnet en los puertos 23 y 2323 para propagarse a otros hosts.

Zerobot Botnet

La lista de fallos conocidos añadidos recientemente y explotados por Zerobot 1.1 es la siguiente

  • CVE-2017-17105 (puntuación CVSS: 9,8) - Una vulnerabilidad de inyección de comandos en Zivif PR115-204-P-RS
  • CVE-2019-10655 (puntuación CVSS: 9,8) - Una vulnerabilidad de ejecución remota de código no autenticada en Grandstream GAC2500, GXP2200, GVC3202, GXV3275 y GXV3240
  • CVE-2020-25223 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código en WebAdmin de Sophos SG UTM
  • CVE-2021-42013 (puntuación CVSS: 9,8) - Vulnerabilidad de ejecución remota de código en el servidor HTTP Apache
  • CVE-2022-31137 (puntuación CVSS: 9,8) - Vulnerabilidad de ejecución remota de código en Roxy-WI
  • CVE-2022-33891 (CVSS score: 8.8) - Una vulnerabilidad de inyección de comandos no autenticada en Apache Spark
  • ZSL-2022-5717 (puntuación CVSS: N/A) - Vulnerabilidad de inyección remota de comandos root en MiniDVBLinux.

Tras una infección exitosa, la cadena de ataque procede a descargar un binario llamado "cero" para una arquitectura de CPU específica que le permite autopropagarse a más sistemas susceptibles expuestos en línea.

Además, se dice que Zerobot prolifera escaneando y comprometiendo dispositivos con vulnerabilidades conocidas que no están incluidas en el ejecutable del malware, como CVE-2022-30023, una vulnerabilidad de inyección de comandos en los routers Tenda GPON AC1200.

Zerobot 1.1 incorpora además siete nuevos métodos de ataque DDoS haciendo uso de protocolos como UDP, ICMP y TCP, lo que indica "una evolución continua y una rápida adición de nuevas capacidades".

"El cambio hacia el malware como servicio en la cibereconomía ha industrializado los ataques y ha facilitado a los atacantes la compra y el uso de malware, el establecimiento y el mantenimiento del acceso a redes comprometidas y la utilización de herramientas ya preparadas para llevar a cabo sus ataques", afirma el gigante tecnológico.

Fuente: https://thehackernews.com/2022/12/zerobot-botnet-emerges-as-growing.html

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Search