0
0
Uma nova botnet está atacando organizações por meio de várias vulnerabilidades em dispositivos de Internet das Coisas (IoT) da D-Link, Huawei, RealTek, TOTOLink, Zyxel e mais, representando uma ameaça crítica que permite que invasores assumam sistemas vulneráveis, descobriram pesquisadores.
A botnet , apelidada de Zerobot e escrita na linguagem de programação Go, inclui módulos capazes de autorreplicação e autopropagação, bem como ataques para diferentes protocolos, um pesquisador da Fortinet compartilhou em um post de blog publicado em 6 de dezembro.
“O Zerobot visa várias vulnerabilidades para obter acesso a um dispositivo e, em seguida, baixa um script para propagação posterior”, escreveu Cara Lin, analista sênior de antivírus da Fortinet Labs, no post.
Até agora, os pesquisadores viram duas versões do botnet, uma que começaram a rastrear em 18 de novembro e uma versão mais sofisticada que apareceu logo depois, em 24 de novembro, que adicionou uma série de novos recursos.
A primeira versão do Zerobot era bastante básica, mas os invasores rapidamente o atualizaram para incluir um módulo “selfRepo” que permite que ele se reproduza e infecte mais endpoints com diferentes protocolos ou vulnerabilidades, disseram os pesquisadores. A versão mais recente – na qual sua análise é baseada – também inclui ofuscação de string e um módulo de arquivo de cópia.
Modo de Ataque
O Zerobot inicia um ataque verificando primeiro sua conexão com 1.1.1.1, o servidor de resolução de DNS da Cloudflare. Em seguida, ele se copia no dispositivo de destino com base no tipo de sistema operacional da vítima, com táticas diferentes dependendo da plataforma, disseram os pesquisadores.
Para Windows, o Zerobot se copia para a pasta “Inicialização” com o nome de arquivo “FireWall.exe”. Se a plataforma de destino for Linux, ela terá três caminhos de arquivo — “HOME%”, “/etc/init/” e “/lib/systemd/system/.”
Depois de copiado para o dispositivo de destino, o Zerobot configura um módulo “AntiKill” para impedir que os usuários interrompam seu programa depois de iniciado. “Este módulo monitora um valor hexadecimal específico e usa ‘signal.Notify’ para interceptar qualquer sinal enviado para encerrar ou interromper o processo”, escreveu Lin.
Após a inicialização, o Zerobot inicia uma conexão com seu servidor de comando e controle (C2), ws[:]//176[.]65[.]137[.]5/handle, usando o protocolo WebSocket.
Depois de configurar um canal de comunicação, o cliente espera por um comando do servidor para liberar qualquer uma das 21 explorações de várias vulnerabilidades encontradas em produtos IoT, além de algumas outras — incluindo a vulnerabilidade do framework Java Spring4Shell , phpAdmin e F5 Big — “para aumentar sua taxa de sucesso”, escreveu Lin.
Empresas: tome medidas imediatas
A Fortinet incluiu uma lista das inúmeras vulnerabilidades exploradas pelo Zerobot, encontradas em vários dispositivos, incluindo roteadores, webcams, armazenamento conectado à rede, firewalls e outros produtos de vários fabricantes conhecidos.
Lin aconselhou qualquer organização que usa esses dispositivos a atualizar para as versões mais recentes ou aplicar os patches disponíveis imediatamente. De fato, com as empresas perdendo até US$ 250 milhões por ano em ataques de botnet indesejados, de acordo com um relatório publicado no ano passado pela Netacea, as organizações deveriam avaliar seus ambientes para descobrir qualquer dispositivo que possa ser vulnerável ao Zerobot, observou ela.
“Os usuários devem estar cientes dessa nova ameaça, corrigir quaisquer sistemas afetados … em execução em sua rede e aplicar ativamente os patches assim que estiverem disponíveis”, escreveu Lin.
FONTE: DARK READING