Microsoft explique les nouvelles fonctionnalités du malware Zerobot
Le logiciel malveillant Zerobot dont il est question dans ce billet n'a rien à voir avec ZeroBot.ai, un chatbot verbal alimenté par GPT-3.5 qui porte le même nom, ni avec le robot de streaming vidéo ZeroBot Raspberry Pi Zero imprimé en 3D, qui porte également le même nom.
Selon Microsoft, Zerobot, un botnet unique en son genre écrit en Go et distribué via des vulnérabilités de l'IoT et des applications web, a ajouté de nouvelles fonctionnalités et de nouveaux mécanismes d'infection.
Zerobot, selon FortiGuard Labs, contient plusieurs modules, dont l'auto-réplication, les attaques pour divers protocoles et l'auto-propagation. Il utilise également le protocole WebSocket pour communiquer avec son serveur de commande et de contrôle.
Microsoft indique que le logiciel malveillant a atteint la version 1.1 et qu'il est capable d'exploiter des failles dans Apache et Apache Spark pour compromettre divers terminaux et les utiliser ensuite dans des attaques. Les failles utilisées pour déployer Zerobot sont CVE-2021-42013 et CVE-2022-33891. Il mentionne également la possibilité de cibler des vulnérabilités dans les systèmes DVR MiniDVBLinux, les systèmes de réseau Grandstream et l'interface graphique Roxy-WI.
Microsoft explique qu'une fois sur l'appareil, Zerobot injecte une charge utile malveillante qui tente ensuite de télécharger plusieurs binaires afin d'identifier l'architecture par force brute. En fonction du système d'exploitation, le botnet utilise divers mécanismes de persistance pour maintenir l'accès aux appareils infectés.
" Le logiciel malveillant peut tenter d'obtenir l'accès aux appareils en utilisant une combinaison de huit noms d'utilisateurs communs et 130 mots de passe pour les appareils IoT sur SSH et telnet sur les ports 23 et 2323 pour se propager aux appareils ", écrit Microsoft, ajoutant que des efforts pour accéder aux ports et se combiner avec eux en utilisant le port-knocking sur les ports 80, 8080, 8888 et 2323 ont également été faits.
Il dispose également de capacités supplémentaires d'attaque par déni de service distribué, telles que des fonctions permettant aux acteurs de la menace de cibler et de désactiver des ressources. Les attaques DDOS de Zerobot qui réussissent peuvent être utilisées pour extorquer des rançons, détourner l'attention d'autres activités malveillantes ou perturber les opérations.
Selon Microsoft, ces capacités permettent aux acteurs de la menace de cibler diverses ressources et de les rendre inaccessibles. Selon le rapport, le port de destination est personnalisable dans presque toutes les attaques, ce qui permet aux acteurs de la menace qui achètent le logiciel malveillant de modifier l'attaque comme bon leur semble.
Les sources de cet article comprennent un article de SecurityAffairs.