Zerobot là một phần mềm độc hại viết bằng ngôn ngữ lập trình Golang (Go), có khả năng tự sao chép, tự lây lan và nhắm mục tiêu đến 12 kiến trúc thiết bị.
Trong lần đầu tiên cảnh báo về các khả năng của mối đe dọa Fortinet đã phân tích hai biến thể của phần mềm độc hại và thấy một trong số đó chứa những khai thác nhắm vào 21 lỗ hổng đã biết, bao gồm các lỗ hổng Spring4Shell và F5 Big-IP gần đây cùng các lỗ hổng trong tường lửa, bộ định tuyến và camera giám sát.
Mới đây, Microsoft đã công bố phân tích của riêng mình về Zerobot, cảnh báo rằng phần mềm độc hại đã được cập nhật những tính năng bổ sung, bao gồm khai thác hai lỗ hổng trong Apache và Apache Spark lần lượt có số hiệu là CVE-2021-42013 và CVE-2022-33891.
CVE-2021-42013 là lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) được vá vào tháng 10/2021, cũng từng bị các botnet khác nhắm mục tiêu trong đó có cả botnet Enemybot DDoS.
Ngoài những khai thác được báo cáo trước đó, biến thể Zerobot mà Microsoft đã phân tích cũng khai thác các lỗ hổng CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) và ZSL-2022-5717 (MiniDVBLinux).
Theo Microsoft: “Kể từ khi phát hành Zerobot 1.1, những kẻ khai thác phần mềm độc hại đã không còn CVE-2018-12613, một lỗ hổng phpMyAdmin có thể cho phép các tác nhân đe dọa xem hoặc thực thi các tệp. Các nhà nghiên cứu của Microsoft cũng đã tìm ra bằng chứng mới cho thấy Zerobot lan truyền bằng cách xâm phạm các thiết bị có lỗ hổng đã biết, không có trong mã nhị phân của phần mềm độc hại như CVE-2022-30023, lỗ hổng chèn lệnh trong bộ định tuyến Tenda GPON AC1200”.
Khi đã xâm phạm thành công thiết bị, Zerobot sẽ đưa vào một tập lệnh để thực thi phần mềm độc hại botnet (hoặc một tập lệnh để xác định kiến trúc thiết bị và tìm nạp tệp nhị phân thích hợp) và đạt được sự bền bỉ.
Mối đe dọa không nhắm vào các máy sử dụng Windows, nhưng Microsoft cho biết họ đã quan sát thấy các mẫu Zerobot có thể chạy trên Windows.
Biến thể Zerobot tích hợp thêm một số khả năng mới để khởi chạy các cuộc tấn công DDoS bằng cách sử dụng các giao thức UDP, ICMP, TCP, SYN, ACK và SYN-ACK.
Zerobot cũng có thể quét Internet để tìm thêm các thiết bị lây nhiễm. Khả năng này cho phép nó quét những địa chỉ IP được tạo ngẫu nhiên, trong khi cố gắng xác định địa chỉ IP của honeypot (một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập).
Theo Microsoft: “Các nhà nghiên cứu của Microsoft cũng đã xác định được một mẫu có thể chạy trên Windows dựa trên công cụ quản trị từ xa nguồn mở (RAT) đa nền tảng (Linux, Windows, macOS) với nhiều tính năng khác nhau như quản lý quy trình, thao tác tệp, chụp màn hình và thực thi lệnh”./.