Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Адаптируйся, самроспространяйся, заражай: обнаружен новый самораспространяющийся ботнет Zerobot (http://txgate.io:443/showthread.php?t=11002)

Artifact 05-06-2025 02:56 AM

Лежащий в основе ботнета вредонос использует более двух десятков эксплойтов.
https://www.securitylab.ru/upload/ib...bfmptswzuz.png
Новый ботнет был обнаружен специалистами Fortinet. По их словам, лежащий в его основе вредонос написан на Go и использует более двух десятков уязвимостей в сетевых и IoT-устройствах для самораспространения. Эксперты назвали эту вредоносную программу Zerobot.
Хакеры начали активно распространять вредонос с середины прошлого года, заражая им преимущественно Linux-устройства. Процесс заражения выглядит так:<ul><li>Злоумышленник внедряет Zerobot в устройство жертвы, используя одну или несколько уязвимостей;</li>
</ul><ul><li>Оказавшись в системе, вредонос получает с C&amp;C-сервера специальный скрипт, учитывающий архитектуру CPU жертвы. На данный момент Zerobot поддерживает i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x.</li>
</ul><ul><li>Загруженный скрипт отвечает за дальнейшее распространение Zerobot.</li>
</ul>Пока экспертам удалось обнаружить только две версии Zerobot. Первая использовалась до 24 ноября и в ней был только набор базовых функций. В последней версии появился модуль для самораспространения под названием selfRepo, который заражает другие устройства через атаки с использованием различных протоколов или уязвимостей.
http://dl3.joxi.net/drive/2022/12/08...d87eba12c9.jpg
Список уязвимостей, используемых для заражения других устройств.
Стоит отметить, что ботнет использует четыре уязвимости, которым не присвоен идентификатор. Две из них нацелены на терминалы GPON и маршрутизаторы D-Link. Подробностей о двух других пока нет.
Закрепившись в системе, Zerobot подключается к C&amp;C-серверу, используя протокол WebSocket, затем отправляет некоторую информацию о жертве и ждет одну из ответных команд:<ul><li>ping – поддерживает подключение;</li>
</ul><ul><li>attack – запускает атаку с использованием протоколов TCP, UDP, TLS, HTTP, ICMP;</li>
</ul><ul><li>stop – останавливает атаку;</li>
</ul><ul><li>update – устанавливает обновление и перезапускает Zerobot;</li>
</ul><ul><li>enable_scan – запускает поиск открытых портов для дальнейшего распространения вредоноса через эксплойт или взлом SSH/Telnet;</li>
</ul><ul><li>disable_scan – отключает enable_scan;</li>
</ul><ul><li>command – запускает команду ОС;</li>
</ul><ul><li>kill – “убивает” вредоноса. Его процесс можно завершить только так, потому что Zerobot использует модуль Antikill.</li>
</ul>Специалисты считают, что Zerobot будет в первую очередь использоваться для проведения DDoS-атак. В будущем есть шанс, что с его помощью злоумышленники будут пытаться получить первоначальный доступ к системам.


All times are GMT. The time now is 03:59 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.