Zerobot 1.1

Zerobotはボットネットマルウェアです。
Zerobotは継続的に機能拡張が実施されていて、危険度が上がってきています。
Zerobotはモジュール型になっているのですが、そのモジュールの追加や更新が続いています。

• Go
  ZerobotはGo言語で実装されています。
  Goが選択されるケースが増えています。

   

• ターゲット
  ターゲットの範囲が広くなっています。
  Windowsも、Linuxも、その他のIoTデバイスも、いろいろな機種が対象になっています。
  対象への接続を獲得すると、いろいろなアーキテクチャ向けのバイナリを取得して次々に実行します。
  成功するまでやめないといった感じです。
  ARM64、MIPS、x86_64なんでもござれです。

   

• 永続化
  ターゲットのOSが多数ありますが、そのターゲットにあわせて永続化方法も調整されます。

   

• 新しい攻撃機能
  Zerobotはもともと高機能です。
  そこに新たにDDoS攻撃機能が追加されました。
  DDoS攻撃機能では宛先ポートの変更機能も用意されていますので、多くの対象に対して使用することができるものなっています。

   

• 拡散機能
  Zerobotは自身の機能で拡散することができます。
  侵入先で永続化が完了すると、拡散先調査のためのスキャンを開始します。

CVE-2017-17105を悪用しZivifのWebカメラを攻撃するモジュールを搭載しています。
CVE-2019-10655を悪用しGrandstreamのVoIP製品を攻撃するモジュールを搭載しています。
CVE-2020-25223を悪用しSophos UTMを攻撃するモジュールを搭載しています。
CVE-2021-42013を悪用しApache HTTP Serverを攻撃するモジュールを搭載しています。
CVE-2022-31137を悪用しRoxy-WIのWeb管理機能を攻撃するモジュールを搭載しています。
CVE-2022-33891を悪用しApache Sparkを攻撃するモジュールを搭載しています。
他にもあります。

侵入方法が次々に追加されています。
侵入されてDDoS機能を使用することもできます。
DDoS機能って単になにかの機器が使えなくなるだけでしょ、というわけにはいきそうにありません。
脅威アクターが身代金の支払いを強要したり、他の悪意のある活動から注意をそらしたり、操作を妨害したりするために使用されることだって考えられます。
被害にあわないために、堅実な運用の継続をしていこうと思います。

参考記事（外部リンク）：Microsoft research uncovers new Zerobot capabilities
www.microsoft.com/en-us/security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/