ผู้เชี่ยวชาญเตือนมัลแวร์ Zerobot ติดอาวุธช่องโหว่ถึง 21 รายการ

เป้าหมายของ Zerobot ก็คือการทำให้เหยื่อกลายเป็นฐานของ Botnet เพื่อนำทรัพยากรไปใช้โจมตีเป้าหมายอื่น ความน่าสนใจคือ Zerobot ได้ถูกติดอาวุธด้วยช่องโหว่ก็อุปกรณ์แบรนด์ดังมากมายเช่น F5 BIG-IP, Zyxel Firewall และ D-Link Router รวมถึงกล้องวงจรปิดยี่ห้อ Hivision

ทีมผู้เชี่ยวชาญของ Fortinet ได้ตรวจพบมัลแวร์ Zerobot เมื่อกลางเดือนก่อนโดยความน่าสนใจคือมัลแวร์มีการใช้ช่องโหว่ที่ทันสมัยและครอบคลุมหลายแพลตฟอร์ม ในอุปกรณ์ยอดนิยมต่างๆเช่น CVE-2022-01388 (F5 Big-ip), CVE-2022-30525 (Zyxel USG flex 100(w) Firewall), CVE-2021-36260 (Hikvision) และช่องโหว่ที่ไม่ได้รับหมายเลขอ้างอิงใน D-Link Router และอุปกรณ์รับสัญญาณไฟเบอร์ GPON

ไอเดียของมัลแวร์เมื่อติดเข้ามาแล้วจากช่องโหว่ ก็จะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า ‘Zero’ เพื่อใช้ในการแพร่ตัวเองไปยังอุปกรณ์รอบข้าง โดยผู้เชี่ยวชาญพบว่ามัลแวร์มีการรันคำสั่งของ Windows หรือ Linux ด้วย รวมถึงจัดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมนำข้อมูลกลับไปให้ โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command(คำสั่งของ OS บน Windows หรือ Bash) และ kill นอกจากนี้มัลแวร์ยังมีกลไกพิเศษที่ใช้ป้องกันการถูกสั่ง kill ตนเองด้วย 

ศึกษาบทวิเคราะห์เชิงเทคนิคได้ที่ https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities

ที่มา : https://www.bleepingcomputer.com/news/security/new-zerobot-malware-has-21-exploits-for-big-ip-zyxel-d-link-devices/