Zerobot 1.1: новая угроза для IoT-устройств и корпоративных сетей

Zerobot распространяется через атаки методом грубой силы, нацеленные на устройства с небезопасными настройками SSH и telnet. Вредоносная программа использует комбинации из восьми популярных имен пользователей и 130 паролей, пытаясь получить доступ к устройствам через порты 23 и 2323. Кроме того, ботнет активно эксплуатирует известные уязвимости в различных прошивках и программном обеспечении. В Zerobot 1.1 добавлены новые CVE, включая уязвимости в Apache (CVE-2021-42013), Apache Spark (CVE-2022-33891), а также в устройствах Grandstream, Sophos SG UTM и других.

Одной из ключевых особенностей Zerobot является его способность адаптироваться под различные архитектуры процессоров. После заражения устройства вредоносная программа загружает и выполняет бинарные файлы, соответствующие конкретной платформе (ARM64, MIPS, x86_64 и другие). Это делает ботнет особенно опасным, поскольку он может заражать широкий спектр IoT-устройств, работающих на разных аппаратных платформах.

После успешного внедрения Zerobot предпринимает шаги для обеспечения персистенции на зараженном устройстве. В зависимости от операционной системы он использует различные методы для сохранения доступа. Например, на Windows-системах вредоносная программа копирует себя в папку автозагрузки под именем FireWall.exe (или my.exe в более ранних версиях). Хотя Zerobot изначально не предназначен для атак на Windows, исследователи Microsoft обнаружили образцы, способные работать и на этой платформе.

Основная цель Zerobot - создание мощной бот-сети для проведения DDoS-атак. В новой версии добавлены дополнительные методы атак, позволяющие злоумышленникам настраивать параметры атаки под конкретные цели. Это делает Zerobot еще более гибким инструментом в руках киберпреступников, которые могут использовать его для вымогательства, отвлечения внимания от других атак или просто для нанесения ущерба инфраструктуре жертвы.

Эксперты по кибербезопасности рекомендуют владельцам IoT-устройств и системным администраторам предпринять срочные меры для защиты от Zerobot. Ключевые шаги включают: обновление прошивок и ПО до последних версий, отключение неиспользуемых сервисов (таких как telnet), использование сложных паролей и мониторинг подозрительной сетевой активности. Microsoft Defender for Endpoint уже включает сигнатуры для обнаружения Zerobot, однако важно применять комплексный подход к защите, включая сегментацию сети и регулярный аудит безопасности.

Рост активности Zerobot подтверждает общую тенденцию увеличения числа атак на IoT-устройства. Поскольку такие устройства часто остаются без обновлений и работают с уязвимыми конфигурациями, они становятся легкой добычей для злоумышленников. В ближайшее время можно ожидать дальнейшего развития этого ботнета, включая добавление новых эксплойтов и методов атак. Компаниям и частным пользователям необходимо быть готовыми к новым угрозам и активно укреплять защиту своих сетей.

IPv4

• 176.65.137.5
• 176.65.137.6

IPv4 Port Combinations

• 176.65.137.5:1401

Domains

• zero.sudolite.ml

URLs

• http://176.65.137.5:8000/ws
• ws://176.65.137.5/handle

SHA256

• 05b7517cb05fe1124dd0fad4e85ddf0fe65766a4c6c9986806ae98a427544e9d
• 0a5eebf19ccfe92a2216c492d6929f9cac72ef37089390572d4e21d0932972c8
• 0ce7bc2b72286f236c570b1eb1c1eacf01c383c23ad76fd8ca51b8bc123be340
• 0f0ba8cc3e46fff0eef68ab5f8d3010241e2eea7ee795e161f05d32a0bf13553
• 13657b64a2ac62f9d68aeb75737cca8f2ab9f21e4c38ce04542b177cb3a85521
• 1e66ee40129deccdb6838c2f662ce33147ad36b1e942ea748504be14bb1ee0ef
• 1e7ca210ff7bedeefadb15a9ec5ea68ad9022d0c6f41c4e548ec2e5927026ba4
• 26e68684f5b76d9016d4f02b8255ff52d1b344416ffc19a2f5c793ff1c2fdc65
• 29eface0054da4cd91c72a0b2d3cda61a02831b4c273e946d7e106254a6225a7
• 343c9ca3787bf763a70ed892dfa139ba69141b61c561c128084b22c16829c5af
• 3685d000f6a884ca06f66a3e47340e18ff36c16b1badb80143f99f10b8a33768
• 45059f26e32da95f4bb5dababae969e7fceb462cdeadf7d141c39514636b905a
• 4a4cb8516629c781d5557177d48172f4a7443ca1f826ea2e1aa6132e738e6db2
• 539640a482aaee2fe743502dc59043f11aa8728ce0586c800193e30806b2d0e5
• 54d1daf58ecd4d8314b791a79eda2258a69d7c69a5642b7f5e15f2210958bdce
• 5625d41f239e2827eb05bfafde267109549894f0523452f7a306b53b90e847f2
• 57f83ca864a2010d8d5376c68dc103405330971ade26ac920d6c6a12ea728d3d
• 62f23fea8052085d153ac7b26dcf0a15fad0c27621f543cf910e37f8bf822e0e
• 62f9eae8a87f64424df90c87dd34401fe7724c87a394d1ba842576835ab48afc
• 65232e30bb8459961a6ab2e9af499795941c3d06fdd451bdb83206a00b1b2b88
• 66c76cfc64b7a5a06b6a26976c88e24e0518be3554b5ae9e3475c763b8121792
• 6c59af3ed1a616c238ee727f6ed59e962db70bc5a418b20b24909867eb00a9d6
• 77dd28a11e3e4260b9a9b60d58cb6aaaf2147da28015508afbaeda84c1acfe70
• 788e15fd87c45d38629e3e715b0cb93e55944f7c4d59da2e480ffadb6b981571
• 7bfd0054aeb8332de290c01f38b4b3c6f0826cf63eef99ddcd1a593f789929d6
• 8176991f355db10b32b7562d1d4f7758a23c7e49ed83984b86930b94ccc46ab3
• 869f4fb3f185b2d1231d9378273271ddfeebb53085daede89989f9cc8d364f5f
• 874b0691378091a30d1b06f2e9756fc7326d289b03406023640c978ff7c87712
• 8aa89a428391683163f0074a8477d554d6c54cab1725909c52c41db2942ac60f
• 95e4cc13f8388c195a1220cd44d26fcb2e10b7b8bfc3d69efbc51beb46176ff1
• aed95a8f5822e9b1cd1239abbad29d3c202567afafcf00f85a65df4a365bedbb
• bdfd89bdf6bc2de5655c3fe5f6f4435ec4ad37262e3cc72d8cb5204e1273ccd6
• bf582b5d470106521a8e7167a5732f7e3a4330d604de969eb8461cbbbbdd9b9a
• c304a9156a032fd451bff49d75b0e9334895604549ab6efaab046c5c6461c8b3
• cacb77006b0188d042ce95e0b4d46f88828694f3bf4396e61ae7c24c2381c9bf
• cdc28e7682f9951cbe2e55dad8bc2015c1591f89310d8548c0b7a1c65dbefae3
• cf232e7d39094c9ba04b9713f48b443e9d136179add674d62f16371bf40cf8c8
• e3dd20829a34caab7f1285b730e2bb0c84c90ac1027bd8e9090da2561a61ab17
• e4840c5ac2c2c2170d00feadb5489c91c2943b2aa13bbec00dbcffc4ba8dcc2d
• eb33c98add35f6717a3afb0ab2f9c0ee30c6f4e0576046be9bf4fbf9c5369f71
• ef28ee3301e97eefd2568a3cb4b0f737c5f31983710c75b70d960757f2def74e
• fd65bd8ce671a352177742616b5facc77194cccec7555a2f90ff61bad4a7a0f6