La botnet Zerobot DDoS ha recibido actualizaciones sustanciales que amplían su capacidad para apuntar a más dispositivos conectados a Internet y escalar su red.
Microsoft Threat Intelligence Center (MSTIC) está rastreando la amenaza en curso bajo el nombre DEV-1061, su designación para grupos de actividad desconocidos, emergentes o en desarrollo.
Zerobot, documentado por primera vez por Fortinet FortiGuard Labs a principios de este mes, es un malware basado en Go que se propaga a través de vulnerabilidades en aplicaciones web y dispositivos IoT como firewalls, enrutadores y cámaras.
“La distribución más reciente de Zerobot incluye capacidades adicionales, como la explotación de vulnerabilidades en Apache y Apache Spark ( CVE-2021-42013 y CVE-2022-33891 respectivamente) y nuevas capacidades de ataque DDoS”, dijeron investigadores de Microsoft.
También llamado ZeroStresser por sus operadores, el malware se ofrece como un servicio DDoS de alquiler a otros actores criminales, con la botnet anunciada para la venta en varias redes sociales.
Microsoft dijo que un dominio con conexiones a Zerobot, zerostresser[.]com, estaba entre los 48 dominios incautados por la Oficina Federal de Investigaciones (FBI) de EE. UU. este mes por ofrecer funciones de ataque DDoS a clientes que pagan.
La última versión de Zerobot detectada por Microsoft no solo apunta a dispositivos sin parches y protegidos incorrectamente, sino que también intenta aplicar fuerza bruta sobre SSH y Telnet en los puertos 23 y 2323 para propagarse a otros hosts.
La lista de fallas conocidas recientemente agregadas explotadas por Zerobot 1.1 es la siguiente:
- CVE-2017-17105 (puntaje CVSS: 9.8): una vulnerabilidad de inyección de comando en Zivif PR115-204-P-RS
- CVE-2019-10655 (puntaje CVSS: 9.8): una vulnerabilidad de ejecución remota de código no autenticado en Grandstream GAC2500, GXP2200, GVC3202, GXV3275 y GXV3240
- CVE-2020-25223 (puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código en WebAdmin de Sophos SG UTM
- CVE-2021-42013 (puntaje CVSS: 9.8): una vulnerabilidad de ejecución remota de código en el servidor Apache HTTP
- CVE-2022-31137 (puntaje CVSS: 9.8): una vulnerabilidad de ejecución remota de código en Roxy-WI
- CVE-2022-33891 (puntaje CVSS: 8.8): una vulnerabilidad de inyección de comando no autenticada en Apache Spark
- ZSL-2022-5717 (puntaje CVSS: N/A): una vulnerabilidad de inyección de comando raíz remoto en MiniDVBLinux
Tras una infección exitosa, la cadena de ataque procede a descargar un binario llamado «cero» para una arquitectura de CPU específica que le permite autopropagarse a sistemas más susceptibles expuestos en línea.
Además, se dice que Zerobot prolifera al escanear y comprometer dispositivos con vulnerabilidades conocidas que no están incluidas en el ejecutable del malware, como CVE-2022-30023 , una vulnerabilidad de inyección de comandos en los enrutadores Tenda GPON AC1200.
Zerobot 1.1 incorpora además siete nuevos métodos de ataque DDoS al hacer uso de protocolos como UDP, ICMP y TCP, lo que indica una «evolución continua y una rápida adición de nuevas capacidades».
«El cambio hacia el malware como servicio en la economía cibernética ha industrializado los ataques y ha facilitado que los atacantes compren y usen malware, establezcan y mantengan el acceso a redes comprometidas y utilicen herramientas preparadas para realizar sus ataques», dijo el técnico. dijo el gigante.
Fuente y redacción: thehackernews.com
