Microsoft가 설명하는 제로봇 멀웨어의 새로운 기능

이 블로그 게시물에서 설명하는 제로봇 멀웨어는 같은 이름을 공유하는 GPT-3.5 기반 언어 챗봇인 ZeroBot.ai와 관련이 없으며, 같은 이름을 공유하는 제로봇 라즈베리 파이 제로 3D 프린팅 비디오 스트리밍 로봇과도 관련이 없습니다.

Microsoft에 따르면, Go로 작성되어 IoT 및 웹 애플리케이션 취약점을 통해 유포되는 독특한 봇넷인 제로봇에 새로운 기능과 감염 메커니즘이 추가되었습니다.

포티가드랩에 따르면 제로봇은 자체 복제, 다양한 프로토콜에 대한 공격, 자체 전파 등 여러 모듈을 포함하고 있습니다. 또한 웹소켓 프로토콜을 사용하여 명령 및 제어 서버와 통신합니다.

Microsoft는 이 멀웨어가 버전 1.1에 도달했으며 Apache 및 Apache Spark의 결함을 악용하여 다양한 엔드포인트를 손상시킨 다음 공격에 사용할 수 있다고 말합니다. 제로봇을 배포하는 데 사용된 결함을 CVE-2021-42013 및 CVE-2022-33891로 분류했습니다. 또한 MiniDVBLinux DVR 시스템, Grandstream 네트워킹 시스템, Roxy-WI GUI의 취약점을 노릴 수 있는 기능도 특징 중 하나라고 언급했습니다.

Microsoft는 제로봇이 디바이스에 감염되면 악성 페이로드를 주입한 다음 무차별 대입으로 아키텍처를 식별하기 위해 여러 바이너리를 다운로드하려고 시도한다고 설명합니다. 운영 체제에 따라 봇넷은 감염된 디바이스에 대한 액세스를 유지하기 위해 다양한 지속성 메커니즘을 사용합니다.

"이 멀웨어는 23번 및 2323번 포트의 SSH 및 텔넷을 통해 IoT 장치에 대한 8개의 일반적인 사용자 이름과 130개의 암호 조합을 사용하여 장치에 대한 액세스를 시도하여 장치로 확산될 수 있습니다." 또한 포트 80, 8080, 8888 및 2323번 포트에서 포트 노킹을 사용하여 포트에 액세스하고 결합하는 시도도 이루어졌다고 Microsoft는 덧붙였습니다.

또한 위협 행위자가 리소스를 표적으로 삼아 비활성화할 수 있는 기능 등 추가적인 분산 서비스 거부 공격 기능도 갖추고 있습니다. 제로봇 DDOS 공격이 성공하면 몸값을 갈취하거나 다른 악의적인 활동으로 주의를 돌리거나 운영을 방해하는 데 사용할 수 있습니다.

Microsoft에 따르면 이러한 기능을 통해 위협 행위자는 다양한 리소스를 표적으로 삼아 액세스할 수 없게 만들 수 있습니다. 보고서에 따르면 대상 포트는 거의 모든 공격에서 사용자 지정이 가능하기 때문에 멀웨어를 구입한 위협 행위자가 원하는 대로 공격을 수정할 수 있습니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약

기사 이름

Microsoft가 설명하는 제로봇 맬웨어의 새로운 기능

설명

Microsoft에 따르면, 바둑으로 작성된 독특한 봇넷인 제로봇이 새로운 기능과 감염 메커니즘을 추가했다고 합니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고