Zerobot erweitert sein IoT-Angriffsarsenal um Brute Force, DDoS

Ein kürzlich entdecktes Botnet, dasjenige Unternehmen hoch Schwachstellen im WWW jener Utensilien (IoT) angreift, hat seinem wachsenden Waffen-Repertoire, Microsoft-Sicherheitsanalysten, Brute-Forcing- und Distributed-Denial-of-Tafelgeschirr (DDoS)-Angriffsvektoren sowie die Fähigkeit hinzugefügt, neue Schwachstellen auszunutzen gefunden nach sich ziehen.

Die Updates zum Besten von Zerobot, eine Schadsoftware, die Ursprung dieses Monats erstmals von Fortinet-Forschern beobachtet wurde, ebnen laut dem Microsoft Security Threat Intelligence Center (MSTIC) den Weg zum Besten von fortschrittlichere Angriffe, während sich die Risiko weiterentwickelt.

MSTIC enthüllte in einem Blogbeitrag vom 21. Monat der Wintersonnenwende, dass die Bedrohungsakteure Zerobot gen Version 1.1 aktualisiert nach sich ziehen, die nun Ressourcen hoch DDoS überfallen und unzugänglich zeugen kann, wodurch die Möglichkeiten zum Besten von Angriffe und weitere Kompromittierungen erweitert werden.

„Erfolgreiche DDoS-Angriffe können von Bedrohungsakteuren genutzt werden, um Lösegeldzahlungen zu erpressen, von anderen böswilligen Aktivitäten abzulenken oder den Firma zu stören“, schreiben die Forscher in dem Gebühr. „Wohnhaft bei weitestgehend jedem Übergriff ist jener Zielport anpassbar, und Bedrohungsakteure, die die Schadsoftware kaufen, können den Übergriff wie ihrem Ziel modifizieren.“

Brute-Forcing und andere Taktiken

Forscher von Fortinet hatten schon zwei frühere Versionen von Zerobot verfolgt – eine ziemlich einfache und eine fortgeschrittenere. Die Hauptangriffsart des Botnetzes bestand ursprünglich darin, verschiedene IoT-Geräte – einschließlich Produkte von D-Link, Huawei, RealTek, TOTOLink, Zyxel und mehr – durch in diesen Geräten gefundene Fehler anzugreifen und sich dann gen andere mit dem Netzwerk verbundene Assets auszubreiten Möglichkeit, die Schadsoftware zu verteilen und dasjenige Botnet zu erweitern.

Microsoft-Forscher nach sich ziehen jetzt beobachtet, dass dasjenige Botnet wohnhaft bei seinen Angriffen gen Geräte aggressiver wird und zusammensetzen neuen Brute-Force-Vektor verwendet, um schwach gesicherte IoT-Geräte zu kompromittieren, anstatt nur zu versuchen, eine bekannte Schwachstelle auszunutzen, enthüllten die Forscher.

„IoT-Geräte sind oft dem WWW ausgesetzt, wodurch ungepatchte und unzureichend gesicherte Geräte unstet zum Besten von die Verwendung durch Bedrohungsakteure sind“, schrieben sie in dem Gebühr. „Zerobot kann sich durch Brute-Force-Angriffe gen anfällige Geräte mit unsicheren Konfigurationen ausbreiten, die standardmäßige oder schwache Anmeldeinformationen verwenden.“

Die Schadsoftware versucht, sich Gerätezugriff zu verschaffen, während sie eine Komposition aus acht gängigen Benutzernamen und 130 Passwörtern zum Besten von IoT-Geräte hoch SSH und Telnet an den Ports 23 und 2323 verwendet, um sich gen Geräten zu verteilen, schrieben die Forscher. Einzig wohnhaft bei seinen Beobachtungen identifizierte dasjenige MSTIC-Team zahlreiche SSH- und Telnet-Verbindungsversuche gen den Standardports 22 und 23 sowie Versuche, Ports zu öffnen und sich mit ihnen durch Port-Knocking gen den Ports 80, 8080, 8888 und 2323 zu verbinden.

Eine erweiterte verkettete Liste von Sicherheitslücken

Zerobot hat seine ursprüngliche Fasson, gen Geräte zuzugreifen, jedoch nicht aufgegeben und solche Realität sogar erweitert. Vor seiner neuen Version konnte Zerobot schon mehr denn 20 Schwachstellen in verschiedenen Geräten ausnutzen, darunter Router, Webcams, Network Attached Storage, Firewalls und andere Produkte einer Vielzahl namhafter Hersteller.

Dies Botnetz hat seinem Köcher jetzt sieben neue Exploits zum Besten von Schwachstellen hinzugefügt, die in Apache, Roxy-WI, Grandstream und anderen Plattformen gefunden wurden, fanden die Forscher hervor.

MSTIC fand gleichermaßen neue Beweise zu diesem Zweck, dass Zerobot sich verbreitet, während es Geräte mit bekannten Schwachstellen kompromittiert, die nicht in jener Schadsoftware-Binärdatei enthalten sind, wie CVE-2022-30023, eine Schwachstelle mit Befehlsinjektion in Tenda GPON AC1200-Routern, fügten sie hinzu.

Zerobots Postamt-Compromise-Verhalten

Die Forscher beobachteten gleichermaßen mehr hoch dasjenige Verhalten von Zerobot, sowie es Zugriff gen dasjenige Gerät erhält. Zum zusammensetzen fügt es sofort eine bösartige Nutzlast ein – die ein generisches Skript namens „zero.sh“ sein kann. dasjenige den Bot herunterlädt und versucht auszuführen, oder ein Skript, dasjenige die Zerobot-Binärdatei einer bestimmten Baukunst herunterlädt, sagten sie.

„Dies Bash-Skript, dasjenige versucht, verschiedene Zerobot-Binärdateien herunterzuladen, versucht, die Baukunst durch Brute-Force zu identifizieren, während es versucht, Binärdateien verschiedener Architekturen herunterzuladen und auszuführen, solange bis es gelingt“, schrieben die Forscher.

Sowie Zerobot Persistenz erreicht, scannt es nachher anderen Geräten, die dem WWW ausgesetzt sind und infiziert werden können, während es zufällig eine Zahl zwischen 0 und 255 generiert und ganz IPs scannt, die mit diesem Zahl beginnen.

“Mit einer Methode namens new_botnet_selfRepo_isHoneypotversucht die Schadsoftware, Honeypot-IP-Adressen zu identifizieren, die von Netzwerkködern verwendet werden, um Cyberangriffe anzuziehen und Informationen hoch Bedrohungen und Zugriffsversuche gen Ressourcen zu vereinen“, schrieben die Microsoft-Forscher. „Welche Methode umfasst 61 IP-Subnetze und verhindert dasjenige Scannen dieser IPs. “

Zerobot 1.1 verwendet Skripte, die gen verschiedene Architekturen abzielen, darunter ARM64, MIPS und x86_64. Die Forscher nach sich ziehen gleichermaßen Proben des Botnetzes gen Windows- und Linux-Geräten beobachtet, die je nachher operating system unterschiedliche Persistenzmethoden haben.

Sicherheit des Unternehmens

Fortinet-Forscher hatten schon betont, wie wichtig es ist, dass Unternehmen unverzüglich gen die neuesten Versionen aller von Zerobot betroffenen Geräte updaten. Infolge jener Tatsache, dass Unternehmen laut einem im vergangenen Jahr von Netacea veröffentlichten Rapport solange bis zu 250 Mio. US-Dollar pro Jahr durch unerwünschte Botnet-Angriffe verlieren, ist die Gefahr real.

Um festzustellen, ob eine Organisation offen ist, fügten Microsoft-Forscher eine aktualisierte verkettete Liste von CVEs hinzu, die Zerobot in ihrem Gebühr ausnutzen kann. Dies MSTIC-Team empfahl außerdem, dass Organisationen Sicherheitslösungen mit domänenübergreifender Visibilität und Erkennungsfunktionen verwenden, um Zerobot-Schadsoftware-Varianten und böswilliges Verhalten im Zusammenhang mit jener Risiko zu wiedererkennen.

Laut Microsoft sollten Unternehmen gleichermaßen eine umfassende IoT-Sicherheitslösung importieren, die die Visibilität und Überwachung aller IoT- und Betriebstechnologie (OT)-Geräte, die Bedrohungserkennung und -reaktion sowie die Integration mit SIEM/SOAR- und erweiterten Erkennungs- und Reaktionsplattformen (XDR) ermöglicht .

Denn Teil dieser Strategie sollten sie sichere Konfigurationen zum Besten von Geräte gewährleisten, während sie Standardkennwörter in starke ändern und SSH zum Besten von den externen Zugriff blockieren sowie den Zugriff mit den geringsten Rechten einschließlich VPN-Tätigkeit zum Besten von den Fernzugriff verwenden, sagten die Forscher.

Eine weitere Möglichkeit, eine Kompromittierung durch Zerobot zu vermeiden, besteht darin, Endpunkte mit einer umfassenden Sicherheitslösung zu schützen, die die Apps verwaltet, die Mitwirkender verwenden können, und die Anwendungskontrolle zum Besten von nicht verwaltete Lösungen bietet, sagten sie. Welche Lösungskonzept sollte gleichermaßen eine zeitnahe Richtigstellung von ungenutzten und veralteten ausführbaren Dateien handeln, die sich gen den Geräten einer Organisation entscheiden.