Das Zerobot DDoS-Botnetz hat umfangreiche Updates erhalten, die seine Fähigkeit erweitern, mehr mit dem Internet verbundene Geräte anzugreifen und sein Netzwerk zu vergrößern.
Das Microsoft Threat Intelligence Center (MSTIC) verfolgt die aktuelle Bedrohung unter dem Namen DEV-1061, der Bezeichnung für unbekannte, aufkommende oder sich entwickelnde Aktivitätscluster.
Zerobot, das von Fortinet FortiGuard Labs Anfang des Monats erstmals dokumentiert wurde, ist eine Go-basierte Malware, die sich über Schwachstellen in Webanwendungen und IoT-Geräten wie Firewalls, Routern und Kameras verbreitet.
„Die neueste Distribution von Zerobot enthält zusätzliche Fähigkeiten, wie z. B. das Ausnutzen von Schwachstellen in Apache und Apache Spark(CVE-2021-42013 bzw. CVE-2022-33891 ), und neue DDoS-Angriffsmöglichkeiten“, so die Microsoft-Forscher.
Die Malware, die von ihren Betreibern auch ZeroStresser genannt wird, wird anderen kriminellen Akteuren als DDoS-for-hire-Service angeboten, wobei das Botnetz von seinen Betreibern in sozialen Medien beworben wird.
Microsoft teilte mit, dass eine Domain mit Verbindungen zu Zerobot – zerostresser[.]com – zu den 48 Domains gehörte, die diesen Monat vom U.S. Federal Bureau of Investigation (FBI) beschlagnahmt wurden, weil sie DDoS-Angriffsfunktionen für zahlende Kunden anboten.
Die neueste Version von Zerobot, die Microsoft entdeckt hat, zielt nicht nur auf ungepatchte und unzureichend gesicherte Geräte ab, sondern versucht auch, über SSH und Telnet auf den Ports 23 und 2323 Brute-Force anzuwenden, um sich auf andere Hosts zu verbreiten.
Die Liste der neu hinzugekommenen bekannten Schwachstellen, die von Zerobot 1.1 ausgenutzt werden, lautet wie folgt
- CVE-2017-17105 (CVSS-Score: 9.8) – Eine Befehlsinjektionsschwachstelle in Zivif PR115-204-P-RS
- CVE-2019-10655 (CVSS-Score: 9.8) – Eine Schwachstelle in Grandstream GAC2500, GXP2200, GVC3202, GXV3275 und GXV3240, die eine unautorisierte Remotecodeausführung ermöglicht
- CVE-2020-25223 (CVSS-Score: 9.8) – Eine Sicherheitslücke in der Remotecodeausführung im WebAdmin von Sophos SG UTM
- CVE-2021-42013 (CVSS-Score: 9.8) – Eine Sicherheitslücke in Apache HTTP Server, die die Ausführung von Remotecode ermöglicht
- CVE-2022-31137 (CVSS score: 9.8) – Eine Sicherheitslücke bei der Remotecodeausführung in Roxy-WI
- CVE-2022-33891 (CVSS-Score: 8.8) – Eine Sicherheitslücke in Apache Spark, die die Einspeisung von Befehlen ohne Autorisierung ermöglicht
- ZSL-2022-5717 (CVSS-Score: N/A) – Eine Remote-Root-Befehlsinjektionsschwachstelle in MiniDVBLinux
Nach erfolgreicher Infektion lädt die Angriffskette eine Binärdatei mit dem Namen „Zero“ für eine bestimmte CPU-Architektur herunter, die es ihr ermöglicht, sich selbst auf weitere anfällige Systeme im Internet zu verbreiten.
Außerdem soll sich Zerobot verbreiten, indem er Geräte mit bekannten Schwachstellen scannt und kompromittiert, die nicht in der ausführbaren Datei der Malware enthalten sind, wie z. B. CVE-2022-30023, eine Schwachstelle für die Befehlsinjektion in Tenda GPON AC1200 Routern.
Zerobot 1.1 enthält außerdem sieben neue DDoS-Angriffsmethoden, die Protokolle wie UDP, ICMP und TCP nutzen, was auf eine „kontinuierliche Weiterentwicklung und das schnelle Hinzufügen neuer Fähigkeiten“ hindeutet.
„Die Verlagerung hin zu Malware als Service in der Cyberökonomie hat die Angriffe industrialisiert und macht es Angreifern leichter, Malware zu kaufen und zu nutzen, sich Zugang zu kompromittierten Netzwerken zu verschaffen und aufrechtzuerhalten und vorgefertigte Tools zur Durchführung ihrer Angriffe zu verwenden“, so der Tech-Gigant.