一种新的Zerobot变种通过利用Apache缺陷进行传播

微软威胁情报中心（MSTIC）的研究人员发现了Zerobot僵尸网络（又名ZeroStresser）的一个新变种，该变种经过改进，具有针对更多物联网（IoT）设备的能力。这家IT巨头正在跟踪这组威胁活动，称为DEV-1061。

Zerobot运营商将僵尸网络作为恶意软件即服务模型提供，一个域（零压力[。com）与机器人的链接是联邦调查局在12月查获的与DDoS租用服务相关的48个域名之一。

Zerobot 僵尸网络于 2022 年 11 月首次出现在野外，目标是在 Linux 操作系统上运行的设备。基于 Go 的僵尸网络通过利用物联网 （IoT） 设备和其他应用程序中的二十多个安全漏洞进行传播。

微软发现的最新变种通过利用 Apache 和 Apache Spark 中的漏洞（分别为 CVE-2021-42013 和 CVE-2022-33891）进行传播，并且还支持新的 DDoS 攻击功能。

Zerobot 僵尸网络可以通过暴力攻击对使用默认/弱凭据的不安全配置的易受攻击的设备进行传播。专家观察到，机器人试图通过SSH和端口23和2323上的telnet，使用八个常见用户名和130个物联网设备密码的组合来访问设备。研究人员在默认端口22和23上发现了许多SSH和telnet连接尝试，以及试图通过端口80，8080，8888和2323上的端口敲击来打开端口并连接到它们。

Zerobot 还被观察到通过利用数十个漏洞进行传播，Zerobot 1.1 版本包含几个新缺陷，包括：

“自Zerobot 1.1发布以来，恶意软件运营商已经删除了CVE-2018-12613，这是一个phpMyAdmin漏洞，可能允许威胁行为者查看或执行文件。微软研究人员还发现，以前的报告将漏洞 ID “ZERO-32906”用于 CVE-2018-20057，“GPON”用于 CVE-2018-10561，“DLINK”用于 CVE-2016-20017;并且 CVE-2020-7209 被错误地标记为 CVE-2017-17106，CVE-2022-42013 被错误地标记为 CVE-2021-42013。

研究人员还发现，Zerobot 通过破坏具有恶意软件二进制文件中未包含的已知缺陷的设备来传播，例如 Tenda GPON AC1200 路由器中的命令注入漏洞，该漏洞被跟踪为 CVE-2022-30023。

Zerobot 面向多种架构，包括 i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64 和 s390x。机器人使用文件名“零”保存。

“最新 Zerobot 版本中新功能的不断发展和快速添加强调了实施全面安全措施的紧迫性，”Microsoft 总结道，提供了以下建议来保护设备和网络免受 Zerobot 的威胁：

• 使用具有跨域可见性和检测功能的安全解决方案。

• 采用全面的物联网安全解决方案。

• 确保设备的安全配置：将默认密码更改为强密码，并阻止 SSH 进行外部访问。

• 通过更新维护设备运行状况：确保设备使用最新的固件和修补程序保持最新状态。

• 使用最低权限访问：使用安全的虚拟专用网络 （VPN） 服务进行远程访问，并限制对设备的远程访问。

• 使用全面的 Windows 安全解决方案强化端点”

原文始发于微信公众号（黑猫安全）：一种新的Zerobot变种通过利用Apache缺陷进行传播