Zerobot僵尸网络以新的漏洞和功能成为日益增长的威胁

这个零机器人DDoS僵尸网络已收到大量更新，扩展了其针对更多互联网连接设备和扩展网络的能力。

微软威胁情报中心（MSTIC）正在以DEV-1061这个名字追踪正在发生的威胁，这是一个未知、新兴或正在发展的活动集群。

本月早些时候，Fortinet FortiGuard实验室首次记录了Zerobot，它是一种基于Go的恶意软件，通过防火墙、路由器和摄像头等网络应用程序和物联网设备中的漏洞传播。

微软研究人员表示：“Zerobot的最新发行版包括额外的功能，例如利用Apache和Apache Spark中的漏洞（分别为CVE-22-42013和CVE-22-33891），以及新的DDoS攻击功能”。

该恶意软件的运营商也将其称为ZeroStresser，该恶意软件作为DDoS出租服务提供给其他犯罪行为者，僵尸网络在各种社交媒体网络上发布广告出售。

微软表示，有一个域名与Zerobot；zerostresser[.]com–；是美国联邦调查局（FBI）本月因向付费客户提供DDoS攻击功能而查获的48个域名之一。

微软发现的最新版本的Zerobot不仅针对未经修补和安全保护不当的设备，还试图通过端口23和2323上的SSH和Telnet进行暴力攻击，以传播到其他主机。

Zerobot 1.1开发的新增已知缺陷列表如下-

• CVE-2017-17105（CVSS评分：9.8）-Zivif PR115-204-P-RS中的命令注入漏洞
• CVE-2019-10655（CVSS评分：9.8）-Grandstream GAC2500、GXP2200、GVC3202、GXV3275和GXV3240中存在未经验证的远程代码执行漏洞
• CVE-2020-25223号（CVSS评分：9.8）-Sophos SG UTM的WebAdmin中存在远程代码执行漏洞
• CVE-2021-42013（CVSS评分：9.8）-Apache HTTP服务器中的远程代码执行漏洞
• 电子邮箱2022-31137（CVSS评分：9.8）-Roxy WI中存在远程代码执行漏洞
• 电子邮箱2022-33891（CVSS评分：8.8）-Apache Spark中存在未经验证的命令注入漏洞
• ZSL-2022-5717号（CVSS评分：N/A）-MiniDVBLinux中的远程根命令注入漏洞

成功感染后，攻击链将继续下载一个名为“零”的二进制文件，用于特定的CPU架构，使其能够自我传播到在线暴露的更易受影响的系统。

此外，据说Zerobot会通过扫描和破坏具有恶意软件可执行文件中未包含的已知漏洞的设备而激增，例如CVE-2022-30023，Tenda GPON AC1200路由器中的命令注入漏洞。

Zerobot 1.1通过使用UDP、ICMP和TCP等协议，进一步融合了七种新的DDoS攻击方法，表明“新功能的不断发展和快速添加”

这家科技巨头表示：“在网络经济中，将恶意软件作为一种服务的转变已使攻击产业化，并使攻击者更容易购买和使用恶意软件，建立和维护对受损网络的访问，并利用现成的工具进行攻击。”。