credit : iamwire.com
เป้าหมายของ Zerobot ก็คือการทำให้เหยื่อกลายเป็นฐานของ Botnet เพื่อนำทรัพยากรไปใช้โจมตีเป้าหมายอื่น ความน่าสนใจคือ Zerobot ได้ถูกติดอาวุธด้วยช่องโหว่ก็อุปกรณ์แบรนด์ดังมากมายเช่น F5 BIG-IP, Zyxel Firewall และ D-Link Router รวมถึงกล้องวงจรปิดยี่ห้อ Hivision
ทีมผู้เชี่ยวชาญของ Fortinet ได้ตรวจพบมัลแวร์ Zerobot เมื่อกลางเดือนก่อนโดยความน่าสนใจคือมัลแวร์มีการใช้ช่องโหว่ที่ทันสมัยและครอบคลุมหลายแพลตฟอร์ม ในอุปกรณ์ยอดนิยมต่างๆเช่น CVE-2022-01388 (F5 Big-ip), CVE-2022-30525 (Zyxel USG flex 100(w) Firewall), CVE-2021-36260 (Hikvision) และช่องโหว่ที่ไม่ได้รับหมายเลขอ้างอิงใน D-Link Router และอุปกรณ์รับสัญญาณไฟเบอร์ GPON
ไอเดียของมัลแวร์เมื่อติดเข้ามาแล้วจากช่องโหว่ ก็จะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า ‘Zero’ เพื่อใช้ในการแพร่ตัวเองไปยังอุปกรณ์รอบข้าง โดยผู้เชี่ยวชาญพบว่ามัลแวร์มีการรันคำสั่งของ Windows หรือ Linux ด้วย รวมถึงจัดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมนำข้อมูลกลับไปให้ โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command(คำสั่งของ OS บน Windows หรือ Bash) และ kill นอกจากนี้มัลแวร์ยังมีกลไกพิเศษที่ใช้ป้องกันการถูกสั่ง kill ตนเองด้วย
ศึกษาบทวิเคราะห์เชิงเทคนิคได้ที่ https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities
———————————————————————————————————————————————————————
ที่มา : TechTalkThai / วันที่เผยแพร่ 8 ธ.ค.65
Link : https://www.techtalkthai.com/fortinet-wars-about-zerobot-bundle-with-21-vulnerabilities/