微軟發(fā)現(xiàn):新的攻擊手段已影響全球不同類型物聯(lián)網(wǎng)設(shè)備一年之久
梗概
新發(fā)現(xiàn)的Zerobot僵尸網(wǎng)絡(luò)繼續(xù)發(fā)展,越來(lái)越多地針對(duì)連接設(shè)備。
根據(jù)微軟發(fā)布的一份報(bào)告顯示����,最新版本Data to Drag的惡意軟件Zerobot 1.1增加了新的漏洞和分布式拒絕服務(wù)攻擊能力,將惡意軟件的影響范圍擴(kuò)大到不同類型的物聯(lián)網(wǎng)設(shè)備����。研究人員曾于去年11月首次發(fā)現(xiàn)Zerobot。
Zerobot 是什么?
Zerobot 影響各種設(shè)備�����,包括防火墻設(shè)備�����、路由器和攝像頭�,將受感染的設(shè)備添加到分布式拒絕服務(wù) (DDoS) 僵尸網(wǎng)絡(luò)中。使用多個(gè)模塊���,該惡意軟件可以感染構(gòu)建在不同體系結(jié)構(gòu)和操作系統(tǒng)上的易受攻擊的設(shè)備��,找到要感染的其他設(shè)備�����,實(shí)現(xiàn)持久性并攻擊一系列協(xié)議����。Microsoft 將此活動(dòng)跟蹤為 DEV-1061。
Zerobot 的最新發(fā)行版包括其他功能��,例如利用 Apache 和 Apache Spark 中的漏洞(分別為 CVE-2021-42013 和 CVE-2022-33891)��,以及新的 DDoS 攻擊功能�����。
Microsoft 使用 DEV-#### 名稱作為未知����、新興或發(fā)展中的威脅活動(dòng)集群的臨時(shí)名稱,允許 Microsoft 將其作為一組獨(dú)特的信息進(jìn)行跟蹤����,直到對(duì)威脅的來(lái)源或身份達(dá)到高度信任為止活動(dòng)背后的參與者。一旦滿足定義的標(biāo)準(zhǔn)���,DEV 組就會(huì)轉(zhuǎn)換為指定的參與者����。
據(jù)微軟稱,這種惡意軟件主要通過(guò)未打補(bǔ)丁和保護(hù)不當(dāng)?shù)奈锫?lián)網(wǎng)設(shè)備傳播��,如防火墻��、路由器和攝像頭���。黑客不斷修改僵尸網(wǎng)絡(luò),以擴(kuò)大和發(fā)現(xiàn)盡可能多的設(shè)備�。
微軟發(fā)現(xiàn)了Zerobot濫用的7個(gè)新漏洞,此外還有21個(gè)漏洞���,如本月早些時(shí)候由Fortinet發(fā)現(xiàn)的Spring4Shell和F5 Big�����。
Zerobot 1.1 包含的幾個(gè)新漏洞(不完全)
Zerobot的升級(jí)版利用了Apache web服務(wù)器軟件�����、Apache Spark數(shù)據(jù)處理引擎和通信設(shè)備制造商Grandstream等公司的漏洞����。
更新后的惡意軟件還具有七種新的DDoS功能。根據(jù)微軟的說(shuō)法�,成功的DDoS攻擊可能會(huì)被威脅行為者用來(lái)勒索贖金,分散其他惡意活動(dòng)的注意力���,或破壞運(yùn)營(yíng)��。
之前已知的 Zerobot 功能
以前未公開(kāi)的新功能
Zerobot是用Go編程語(yǔ)言編寫的����,主要影響Linux設(shè)備�。微軟聲稱發(fā)現(xiàn)了幾個(gè)可以在Windows上運(yùn)行的惡意軟件樣本。在Windows電腦上����,惡意軟件會(huì)將自己復(fù)制到名為FireWall.exe的啟動(dòng)文件夾中。
微軟研究人員發(fā)現(xiàn)其中一個(gè)樣本基于跨平臺(tái)(Linux����、Windows、macOS)開(kāi)源遠(yuǎn)程管理工具(RAT)���,具有管理進(jìn)程�����、文件操作��、屏幕截圖和運(yùn)行命令等多種功能���。該工具是通過(guò)調(diào)查惡意軟件使用的命令和控制 (C2) IP 發(fā)現(xiàn)的����。用于下載此 RAT 的腳本稱為impst.sh:
用于下載遠(yuǎn)程管理工具的impst.sh腳本
Zerobot針對(duì)使用默認(rèn)或弱憑據(jù)的不安全配置的物聯(lián)網(wǎng)設(shè)備����。惡意軟件可能會(huì)試圖通過(guò)使用8個(gè)常用用戶名和130個(gè)密碼的組合來(lái)獲得設(shè)備訪問(wèn)權(quán)限���。一旦獲得對(duì)設(shè)備的訪問(wèn)權(quán)��,Zerobot就會(huì)注入惡意有效載荷����,下載并試圖執(zhí)行僵尸網(wǎng)絡(luò)�。
惡意軟件在Linux和Windows上有不同的持久機(jī)制。黑客使用持久性策略來(lái)保持對(duì)設(shè)備的訪問(wèn)�,并在未來(lái)尋找其他暴露在互聯(lián)網(wǎng)上的設(shè)備進(jìn)行感染�。
當(dāng)用戶愿意付費(fèi)發(fā)動(dòng)DDoS攻擊時(shí)���,它就會(huì)作為惡意軟件即服務(wù)方案的一部分提供��。微軟表示�����,購(gòu)買Zerobot惡意軟件的黑客可以根據(jù)目標(biāo)修改攻擊��。
微軟表示����,惡意軟件即服務(wù)的“商業(yè)模式”使網(wǎng)絡(luò)攻擊工業(yè)化�����,使威脅行為者更容易購(gòu)買惡意軟件����,并保持對(duì)受損網(wǎng)絡(luò)的訪問(wèn)。
研究人員在各種社交媒體網(wǎng)絡(luò)上追蹤了Zerobot僵尸網(wǎng)絡(luò)的廣告���。去年12月���,F(xiàn)BI查獲了48個(gè)與DDoS-for-hire服務(wù)有關(guān)的域名�����,其中一個(gè)與Zerobot有鏈接���。
來(lái)源:E安全
在線咨詢
在線咨詢
0371-63319761