В ноябре FortiGuard Labs обнаружила уникальный ботнет, написанный на языке Go, который распространялся через уязвимости IoT. Этот ботнет, известный как Zerobot, содержит несколько модулей, включая самовоспроизведение, атаки на различные протоколы и самораспространение. Он также связывается со своим командно-контрольным сервером с помощью протокола WebSocket. Судя по количеству срабатываний некоторых сигнатур IPS (показано на рисунке 1), эта кампания начала распространение текущей версии где-то после середины ноября.
Zerobot Botnet
Zerobot - это новый ботнет, написанный на языке программирования Go. Он взаимодействует через протокол WebSocket. Впервые он появился 18 ноября и предназначен для борьбы с различными уязвимостями. В течение очень короткого времени он был обновлен обфускацией строк, модулем копирования файлов и модулем эксплойта распространения, что усложняет его обнаружение и дает ему более высокую способность заражать больше устройств. Пользователи должны быть осведомлены об этой новой угрозе, установить заплатки на все затронутые системы, перечисленные на рисунке 13, работающие в их сети, и активно применять исправления по мере их появления.
Zerobot использует несколько уязвимостей для получения доступа к устройству, а затем загружает сценарий для дальнейшего распространения. Zerobot нацелен на следующие архитектуры: i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x. Он сохраняется с именем файла "zero", именно так было получено название кампании.
Zerobot имеет две версии. Первая, использовавшаяся до 24 ноября, содержит только базовые функции. В текущей версии добавлен модуль "selfRepo" для самовоспроизведения и заражения большего количества конечных точек с различными протоколами или уязвимостями.
Indicators of Compromise
IPv4
- 176.65.137.5
SHA256
- 191ce97483781a2ea6325f5ffe092a0e975d612b4e1394ead683577f7857592f
- 2460434dabafe5a5dde0cce26b67f0230dbcd0d0ab5fabad1a1dbc289dc6432f
- 2955dc2aec431e5db18ce8e20f2de565c6c1fb4779e73d38224437ac6a48a564
- 2af33e1ff76a30eb83de18758380f113658d298690a436d817bd7e20df52df91
- 439b2e500e82c96d30e1ef8a7918e1f864e6d706d944aeddffe61b8bf81ef6d3
- 447f9ed6698f46d55d4671a30cf42303e0bd63fe8d09d14c730c5627f173174d
- 4483c4f07e651ce8218216dd5c655622ff323bf3cdfe405ffeb69eafa75efad5
- 50d6c5351c6476ea53e3c0d850de47059db3827b9c4a6ab4d083dfffcbde3579
- 5824fc51fcfba1a6315fd21422559d63c56f0e2192937085d65f9a0ac770eb3a
- 5af002f187ec661f5d274149975ddc43c9f20edd6af8e42b6626636549d2b203
- 6ac49092ee1bdd55ddbf57df829f20aac750597d85b5904bb7bafa5b51fbb44d
- 6c284131a2f94659b254ac646050bc9a8104a15c8d5482877d615d874279b822
- 6dd71163b6ab81a35ce373875a688ad9b31e0d1c292f02e8b2bafa7b3d1e3731
- 74f8a26eb324e65d1b71df9d0ed7b7587e99d85713c9d17c74318966f0bead0a
- 7722abfb3c8d498eb473188c43db8abb812a3b87d786c9e8099774a320eaed39
- 7ae80111746efa1444c6e687ea5608f33ea0e95d75b3c5071e358c4cccc9a6fc
- 7c085185f6754aef7824c201d8443300ff2b104521d82f9a8b8feb5d4c8d3191
- 96bbb269fd080fedd01679ea82156005a16724b3cde1eb650a804fa31f18524e
- 9c16171d65935817afd6ba7ec85cd0931b4a1c3bafb2d96a897735ab8e80fd45
- af48b072d0070fa09bca0868848b62df5228c34ef24d233d8eb75a1fde8ac23f
- b1d67f1cff723eda506a0a52102b261769da4eaf0551b10926c7c79a658061fd
- c9ea4cda12c14c895e23988229831b8f04ccab315c1cbc76a9efae888be55a3b
- cd9bd2a6b3678b61f10bb6415fb37ea6b9934b9ec8bb15c39c543fd32e9be7bb
- d88e9248ff4c983aa9ae2e77cf79cb4efc833c947ec2d274983e45c41bbe47e1
- df76ab8411ccca9f44d91301dc2f364217e4a5e4004597a261cf964a0cd09722
- e0766dcad977a0d8d0e6f3f58254b98098d6a97766ddac30b97d11c1c341f005
- e2c2a0cccefc4314c110f3c0b887e5008073e607c61e1adde5000efb8e630d50
- f0bb312eacde86d533c922b87e47b8536e819d7569baaec82b9a407c68084280
- f9fc370955490bdf38fc63ca0540ce1ea6f7eca5123aa4eef730cb618da8551f