بهره‌برداری بدافزار جدید Zerobot از ۲۱ اکسپلویت در دستگاه‌های D-Link، Zyxel، BIG-IP و سایرین

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.r new zerobot malware has 21 exploits for big ip zyxel d link devices 1
یک بدافزار جدید مبتنی بر زبان Go به نام «Zerobot» در اواسط نوامبر در حال سواستفاده از اکسپلویت‌های متعدد برای ده‌ها آسیب‌پذیری در دستگاه‌های مختلف از‌جمله F5 BIG-IP، فایروال‌های Zyxel، روتر‌های Totolink و D-Link و دوربین‌های Hikvision مشاهده شده است.

هدف این بدافزار اضافه کردن دستگاه‌های آسیب‌دیده به بات‌نت distributed denial -of-service (DDoS) برای انجام حملات قدرتمند علیه اهداف مشخص است.

بدافزار Zerobot می‌تواند شبکه را اسکن کند و خود را به‌دستگاه‌های مجاور نشر دهد و همچنین دستورات را در ویندوز (CMD) یا لینوکس (Bash) اجرا کند.

محققان امنیتی در Fortinet، بدافزار Zerobot را کشف کردند و می‌گویند که از نوامبر نسخه جدیدی با ماژول‌ها و امکان سواستفاده‌های اضافی برای نقص جدید ظاهر شده است که نشان می‌دهد بدافزار به شکل فعالی در حال توسعه است.

بهره‌برداری به روش خاص خود
این بدافزار می‌تواند طیف وسیعی از معماری‌ها و دستگاه‌های سیستم، از‌جمله i386، AMD64، ARM، ARM64، MIPS، MIPS64، MIPS64le، MIPSle، PPC64، PPC64le، RISC64 و S390x را هدف قرار دهد.

بدافزار Zerobot دارای اکسپلویت برای ٢١ آسیب‌پذیری است و از آنها برای دسترسی به‌دستگاه استفاده می‌کند. سپس یک اسکریپت به نام "zero" را دانلود می‌کند، که به آن اجازه می‌دهد تا خود منتشر شود.

takian.r new zerobot malware has 21 exploits for big ip zyxel d link devices 2

بدافزار Zerobot از اکسپلویت‌های زیر برای شکستن اهداف خود استفاده می‌کند :

CVE-2014-08361 : سرویس miniigd SOAP در Realtek SDK

CVE-2017-17106 : وب کم‌Zivif PR115-204-P-RS

CVE-2017-17215 : رو‌تر هواوی HG523

CVE-2018-12613 : phpMyAdmin

CVE-2020-10987 : رو‌تر Tenda AC15 AC1900

CVE-2020-25506 : D-Link DNS-320 NAS

CVE-2021-35395 : Realtek Jungle SDK

CVE-2021-36260 : محصول هایک ویژن

CVE-2021-46422 : رو‌تر Telesquare SDT-CW3B1

CVE-2022-01388 : F5 BIG-IP

CVE-2022-22965 : Spring MVC و Spring WebFlux (Spring4Shell)

CVE-2022-25075 : رو‌تر TOTOLink A3000RU

CVE-2022-26186 : رو‌تر TOTOLink N600R

CVE-2022-26210 : رو‌تر TOTOLink A830R

CVE-2022-30525 : فایروال Zyxel USG Flex 100 (W)

CVE-2022-34538 : دوربین‌های IP MEGApix

CVE-2022-37061 : دوربین‌های سنسور حرارتی FLIX AX8

بعلاوه، بات نت از چهار اکسپلویت استفاده می‌کند که به آنها شناسه اختصاص داده نشده است. دو مورد از آنها ترمینال‌های GPON و روتر‌های D-Link را هدف قرار می‌دهند. جزئیات در مورد دو گزینه دیگر در حال حاضر نامشخص است.

فانکشن‌های Zerobot
پس از اینکه Zerobot حضور خود را در دستگاه در معرض خطر تثبیت کرد، یک اتصال WebSocket را به سرور Command-and-Control (C2) تنظیم می‌کند و برخی از اطلاعات اولیه را درباره قربانی ارسال می‌کند.
سرور C2 ممکن است با یکی از دستورات زیر پاسخ دهد :

Ping – پینگ، حفظ اتصال

Attack – راه اندازی حمله برای پروتکل‌های مختلف : TCP، UDP، TLS، HTTP، ICMP

Stop – توقف حمله

Update – نصب بروزرسانی و راه‌اندازی مجدد Zerobot

enable_scan – پورت‌های باز را اسکن کرده و از طریق اکسپلویت یا کرکر SSH/Telnet شروع به پخش شدن می‌کند

disable_scan - غیرفعال کردن اسکن

Command – کامند OS، cmd را در ویندوز و bash را در لینوکس اجرا می‌کند

kill - برنامه بات نت را می‌کشد

این بدافزار همچنین از یک ماژول "anti-kill" استفاده می‌کند که برای جلوگیری از خاتمه یا از بین بردن روند آن طراحی شده است.

در حال حاضر Zerobot عمدتا بر روی راه اندازی حملات DDoS متمرکز است. با‌این‌حال، می‌توان از آن برای دسترسی اولیه نیز استفاده کرد.

مجموعه Fortinet می‌گوید از زمانی که Zerobot برای اولین‌بار در ١٨ نوامبر ظاهر شد، توسعه‌دهنده این بدافزار، آن را با مبهم‌سازی استرینگ، یک ماژول فایل کپی، یک ماژول خود انتشار و چندین اکسپلویت جدید، بهبود داده است.

برچسب ها: WebSocket, GPON, zero, S390x, i386, AMD64, ARM64, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64, Totolink, F5 BIG-IP, BIG-IP, Zerobot, Realtek, ARM, Zyxel Firewall, Spring4Shell, cmd, هواوی, D-Link, Exploit, Hikvision, MIPS, بات‌نت, Zyxel, Linux, لینوکس, Ping, Bash, اکسپلویت‌, windows, ویندوز, malware, router, DDoS, دفاع سایبری, Cyber Security, روتر, فایروال, Botnet, firewall, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ