Zerobotはボットネットマルウェアです。
Zerobotは継続的に機能拡張が実施されていて、危険度が上がってきています。
Zerobotはモジュール型になっているのですが、そのモジュールの追加や更新が続いています。
- Go
ZerobotはGo言語で実装されています。
Goが選択されるケースが増えています。 - ターゲット
ターゲットの範囲が広くなっています。
Windowsも、Linuxも、その他のIoTデバイスも、いろいろな機種が対象になっています。
対象への接続を獲得すると、いろいろなアーキテクチャ向けのバイナリを取得して次々に実行します。
成功するまでやめないといった感じです。
ARM64、MIPS、x86_64なんでもござれです。 - 永続化
ターゲットのOSが多数ありますが、そのターゲットにあわせて永続化方法も調整されます。 - 新しい攻撃機能
Zerobotはもともと高機能です。
そこに新たにDDoS攻撃機能が追加されました。
DDoS攻撃機能では宛先ポートの変更機能も用意されていますので、多くの対象に対して使用することができるものなっています。 - 拡散機能
Zerobotは自身の機能で拡散することができます。
侵入先で永続化が完了すると、拡散先調査のためのスキャンを開始します。
CVE-2017-17105を悪用しZivifのWebカメラを攻撃するモジュールを搭載しています。
CVE-2019-10655を悪用しGrandstreamのVoIP製品を攻撃するモジュールを搭載しています。
CVE-2020-25223を悪用しSophos UTMを攻撃するモジュールを搭載しています。
CVE-2021-42013を悪用しApache HTTP Serverを攻撃するモジュールを搭載しています。
CVE-2022-31137を悪用しRoxy-WIのWeb管理機能を攻撃するモジュールを搭載しています。
CVE-2022-33891を悪用しApache Sparkを攻撃するモジュールを搭載しています。
他にもあります。
侵入方法が次々に追加されています。
侵入されてDDoS機能を使用することもできます。
DDoS機能って単になにかの機器が使えなくなるだけでしょ、というわけにはいきそうにありません。
脅威アクターが身代金の支払いを強要したり、他の悪意のある活動から注意をそらしたり、操作を妨害したりするために使用されることだって考えられます。
被害にあわないために、堅実な運用の継続をしていこうと思います。
参考記事(外部リンク):Microsoft research uncovers new Zerobot capabilities
www.microsoft.com/en-us/security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/
この記事をシェア |
---|