Специалисты по кибербезопасности столкнулись с новой тревожной тенденцией в деятельности ботнетов на базе печально известного вредоносного ПО Mirai. Если раньше их основной целью были исключительно IoT-устройства - камеры, роутеры, видеорегистраторы, то теперь злоумышленники целенаправленно атакуют уязвимости в корпоративных платформах для автоматизации бизнес-процессов. Это значительно повышает риски для организаций, открывая путь к компрометации более важных систем и возможному перемещению атакующего внутри сети.
Описание
Инцидент, обнаруженный и детально проанализированный командой реагирования на инциденты безопасности Akamai (SIRT), наглядно демонстрирует эту эскалацию. Исследователи зафиксировали активную эксплуатацию двух критических уязвимостей ботнетом, получившим название Zerobot. Целями стали роутеры Tenda AC1206 и популярная платформа автоматизации рабочих процессов n8n. Активность была впервые замечена в глобальной сети ловушек (honeypots) компании в середине января 2026 года, что стало первым задокументированным случаем эксплуатации этих уязвимостей после их публичного раскрытия в июле и декабре 2025 года соответственно.
Первая из атакованных уязвимостей, CVE-2025-7544, затрагивает маршрутизаторы Tenda AC1206. Это критическая уязвимость типа переполнение буфера в функции, отвечающей за фильтрацию MAC-адресов. Её эксплуатация позволяет удалённому злоумышленнику вызвать отказ в обслуживании устройства или выполнить произвольный код. Вторая, не менее серьёзная проблема, CVE-2025-68613, существует в платформе n8n. Она позволяет пользователю с обычными правами, используя механизм выражений в рабочих процессах, вырваться из песочницы и выполнить произвольные команды на сервере. Это открывает злоумышленнику доступ ко всем данным, с которыми работает n8n, включая возможность чтения файлов, кражи ключей API из переменных окружения и закрепления в системе.
Именно атака на n8n вызывает наибольшее беспокойство экспертов. Данная платформа часто используется компаниями для интеграции баз данных с облачными сервисами, автоматической обработки информации и управления чувствительными данными. Её компрометация превращает инструмент бизнес-автоматизации в потенциальный плацдарм для горизонтального перемещения по корпоративной сети и атаки на критически важные активы. В отличие от изолированных IoT-устройств, сервер с n8n обычно имеет более широкие сетевые возможности и доступ к другим системам.
Технический анализ показал, что ботнет Zerobot использует схожий сценарий для обеих уязвимостей. После успешной эксплуатации он загружает и выполняет вредоносный shell-скрипт с названием "tol.sh" с IP-адреса 144.172.100[.]228. Этот скрипт, в свою очередь, скачивает и запускает основную полезную нагрузку - вариант Mirai под именем "zerobotv9". Примечательно, что загрузчик поддерживает множество архитектур процессоров (x86, ARM, MIPS и другие), что характерно для семейства Mirai и позволяет заражать широкий спектр устройств.
Исследование Akamai SIRT выявило, что Zerobot является развитием известной угрозы. Его девятая версия (v9) отличается от оригинального Zerobot 2022 года, написанного на Go, меньшим размером и дополнительными функциями для атак, такими как TCP Xmas или SSH-флуд. При этом анализ показывает связь с более ранними образцами через использование того же XOR-ключа для шифрования строк (0xDEADBEEF), что является характерным признаком кода Mirai. Помимо Tenda и n8n, ботнет также пытался эксплуатировать и другие, более старые уязвимости, включая CVE-2017-9841 и CVE-2021-3129, демонстрируя типичное для подобных угроз оппортунистическое поведение.
Этот случай вновь поднимает важные вопросы о жизненном цикле уязвимостей. Обе использованные уязвимости не были zero-day, то есть неизвестными до публикации. Они были раскрыты в рамках программы CVE, и для них существовали публичные proof of concept (PoC, доказательства концепции), детально описывающие метод эксплуатации. Хотя система CVE является безусловным благом для индустрии, создавая прозрачность, она также служит наводкой для злоумышленников, которые активно мониторят такие disclosures (раскрытия информации) в поисках «окна возможностей» - периода между публикацией уязвимости и установкой заплаток конечными пользователями.
Таким образом, атака ботнета Zerobot служит чётким сигналом для специалистов по информационной безопасности. Во-первых, необходимо расширить периметр мониторинга и контроля за системами, которые традиционно не считались главными целями для IoT-ботнетов, такими как платформы бизнес-автоматизации. Во-вторых, критически важно сокращать время на установку исправлений, особенно для недавно раскрытых критических уязвимостей в программном обеспечении, используемом как на периферии сети, так и во внутренней инфраструктуре. Регулярное обновление прошивок сетевого оборудования и приложений, наряду с сегментацией сети и контролем исходящего трафика, остаются базовыми, но эффективными мерами защиты от подобных продолжающихся угроз. Подробности атаки доступны в исследовании Akamai SIRT.
Индикаторы компрометации
IPv4
- 103.59.160.237
- 140.233.190.96
- 144.172.100.228
- 172.86.123.179
- 216.126.227.101
Domains
- 0bot.qzz.io
URLs
- andro.notemacro.com/inihiddenngentod/zerobotv9.*
- pivot.notemacro.com/inihiddenngentod/zerobotv9.*
SHA256
- 045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57
- 263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c
- 2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3
- 360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da
- 6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e
- c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f
- cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24
- d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7
- d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616
- deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 | rule Mirai_Malware_IOCs_1 { meta: description = "Detects files containing IOCs associated with potential Mirai malware" author = "Akamai SIRT" date = "2026-01-29" source = "Akamai SIRT" malware_family = "Mirai" version = "1.0" strings: $bruh = "bruh why again" $url1 = "mamakmukekkontol" $url2 = "inihiddenngentod" $ip1 = "140.233.190.96" $ip2 = "144.172.100.228" $ip3 = "172.86.123.179" $ip4 = "216.126.227.101" $ip5 = "103.59.160.237" $domain1 = "0bot.qzz.io" $domain2 = "andro.notemacro.com" $domain3 = “pivot.notemacro.com” $hash1 = "c8e8b627398ece071a3a148d6f38e46763dc534f9bfd967ebc8ac3479540111f" $hash2 = "360467c3b733513c922b90d0e222067509df6481636926fa1786d0273169f4da" $hash3 = "cc1efbca0da739b7784d833e56a22063ec4719cd095b16e3e10f77efd4277e24" $hash4 = "045a1e42cb64e4aa91601f65a80ec5bd040ea4024c6d3b051cb1a6aa15d03b57" $hash5 = "d024039824db6fe535ddd51bc81099c946871e4e280c48ed6e90dada79ccfcc7" $hash6 = "deb70af83a9b3bb8f9424b709c3f6342d0c63aa10e7f8df43dd7a457bda8f060" $hash7 = "6e4e797262c80b9117aded5d25ff2752cd83abe631096b66e120cc3599a82e4e" $hash8 = "2fdb2a092f71e4eba2a114364dc8044a7aa7f78b32658735c5375bf1e4e8ece3" $hash9 = "263a363e2483bf9fd9f915527f5b5255daa42bbfa1e606403169575d6555a58c" $hash10 = "d7112dd3220ccb0b3e757b006acf9b92af466a285bbb0674258bcc9ad463f616" condition: ( $url1 or $url2 or $ip1 or $ip2 or $ip3 or $ip4 or $ip5 or $domain1 or $domain2 or $domain3 or $hash1 or $hash2 or $hash3 or $hash4 or $hash5 or $hash6 or $hash7 or $hash8 or $hash9 or $hash10 ) } |
Snort
| 1 2 3 4 5 6 7 8 | alert ip any any -> [140.233.190.96, 144.172.100.228, 172.86.123.179, 216.126.227.101, 103.59.160.237] any ( msg:"Possible Botnet Infrastructure Activity - Suspicious IP"; sid:2000003; rev:1; threshold:type limit, track by_src, count 1, seconds 600; classtype:trojan-activity; metadata:service http, malware; ) |
| 1 2 3 4 5 6 | alert http any any -> [0bot.qzz.io, andro.notemacro.com, pivot.notemacro.com] any ( msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain"; sid:2000002; rev:1; classtype:trojan-activity; metadata:service http, malware; ) |
