微軟發現：新的攻擊手段已影響全球不同類型物聯網設備一年之久

梗概

新發現的Zerobot僵尸網絡繼續發展，越來越多地針對連接設備。

根據微軟發布的一份報告顯示，最新版本Data to Drag的惡意軟件Zerobot 1.1增加了新的漏洞和分布式拒絕服務攻擊能力，將惡意軟件的影響范圍擴大到不同類型的物聯網設備。研究人員曾于去年11月首次發現Zerobot。

Zerobot 是什么？

Zerobot 影響各種設備，包括防火墻設備、路由器和攝像頭，將受感染的設備添加到分布式拒絕服務 (DDoS) 僵尸網絡中。使用多個模塊，該惡意軟件可以感染構建在不同體系結構和操作系統上的易受攻擊的設備，找到要感染的其他設備，實現持久性并攻擊一系列協議。Microsoft 將此活動跟蹤為 DEV-1061。

Zerobot 的最新發行版包括其他功能，例如利用 Apache 和 Apache Spark 中的漏洞（分別為 CVE-2021-42013 和 CVE-2022-33891），以及新的 DDoS 攻擊功能。

Microsoft 使用 DEV-#### 名稱作為未知、新興或發展中的威脅活動集群的臨時名稱，允許 Microsoft 將其作為一組獨特的信息進行跟蹤，直到對威脅的來源或身份達到高度信任為止活動背后的參與者。一旦滿足定義的標準，DEV 組就會轉換為指定的參與者。

據微軟稱，這種惡意軟件主要通過未打補丁和保護不當的物聯網設備傳播，如防火墻、路由器和攝像頭。黑客不斷修改僵尸網絡，以擴大和發現盡可能多的設備。

微軟發現了Zerobot濫用的7個新漏洞，此外還有21個漏洞，如本月早些時候由Fortinet發現的Spring4Shell和F5 Big。

Zerobot 1.1 包含的幾個新漏洞（不完全）

Zerobot的升級版利用了Apache web服務器軟件、Apache Spark數據處理引擎和通信設備制造商Grandstream等公司的漏洞。

更新后的惡意軟件還具有七種新的DDoS功能。根據微軟的說法，成功的DDoS攻擊可能會被威脅行為者用來勒索贖金，分散其他惡意活動的注意力，或破壞運營。

之前已知的 Zerobot 功能

以前未公開的新功能

Zerobot是用Go編程語言編寫的，主要影響Linux設備。微軟聲稱發現了幾個可以在Windows上運行的惡意軟件樣本。在Windows電腦上，惡意軟件會將自己復制到名為FireWall.exe的啟動文件夾中。

微軟研究人員發現其中一個樣本基于跨平臺（Linux、Windows、macOS）開源遠程管理工具（RAT），具有管理進程、文件操作、屏幕截圖和運行命令等多種功能。該工具是通過調查惡意軟件使用的命令和控制 (C2) IP 發現的。用于下載此 RAT 的腳本稱為impst.sh：

用于下載遠程管理工具的impst.sh腳本

Zerobot針對使用默認或弱憑據的不安全配置的物聯網設備。惡意軟件可能會試圖通過使用8個常用用戶名和130個密碼的組合來獲得設備訪問權限。一旦獲得對設備的訪問權，Zerobot就會注入惡意有效載荷，下載并試圖執行僵尸網絡。

惡意軟件在Linux和Windows上有不同的持久機制。黑客使用持久性策略來保持對設備的訪問，并在未來尋找其他暴露在互聯網上的設備進行感染。

當用戶愿意付費發動DDoS攻擊時，它就會作為惡意軟件即服務方案的一部分提供。微軟表示，購買Zerobot惡意軟件的黑客可以根據目標修改攻擊。

微軟表示，惡意軟件即服務的“商業模式”使網絡攻擊工業化，使威脅行為者更容易購買惡意軟件，并保持對受損網絡的訪問。

研究人員在各種社交媒體網絡上追蹤了Zerobot僵尸網絡的廣告。去年12月，FBI查獲了48個與DDoS-for-hire服務有關的域名，其中一個與Zerobot有鏈接。