Zerobot Racuni Perangkat IoT

Malware baru berbasis Go bernama Zerobot telah ditemukan pada pertengahan November menggunakan eksploitasi untuk hampir dua lusin kerentanan di berbagai perangkat yang mencakup F5 BIG-IP, firewall Zyxel, router Totolink dan D-Link, serta kamera Hikvision, Zerobot racuni perangkat IoT

Tujuan dari malware ini adalah untuk menambahkan perangkat yang dikompromikan ke botnet Distributed Denial of Service (DDoS) untuk meluncurkan serangan yang kuat terhadap target yang ditentukan.

Zerobot dapat memindai jaringan dan menyebarkan diri ke perangkat yang berdekatan serta menjalankan perintah di Windows (CMD) atau Linux (Bash).

Diketahui bahwa sejak November versi baru telah muncul dengan modul tambahan dan mengeksploitasi kelemahan baru, yang menunjukkan bahwa malware sedang dalam pengembangan aktif.

Eksploitasi Besar-besaran

Malware dapat menargetkan berbagai arsitektur dan perangkat sistem, termasuk i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64, dan S390x.

Zerobot menggabungkan eksploit untuk 21 kerentanan dan menggunakannya untuk mendapatkan akses ke perangkat. Kemudian mengunduh skrip bernama “nol”, yang memungkinkannya menyebar sendiri.

Zerobot menggunakan eksploit berikut untuk menembus targetnya:

• CVE-2014-08361: layanan SOAP miniigd di Realtek SDK

• CVE-2017-17106: Webcam Zivif PR115-204-P-RS

• CVE-2017-17215: Router Huawei HG523

• CVE-2018-12613: phpMyAdmin

• CVE-2020-10987: Router Tenda AC15 AC1900

• CVE-2020-25506: D-Link DNS-320 NAS

• CVE-2021-35395: Realtek Jungle SDK

• CVE-2021-36260: Produk Hikvision

• CVE-2021-46422: Router Telesquare SDT-CW3B1

• CVE-2022-01388: IP BESAR F5

• CVE-2022-22965: Spring MVC dan Spring WebFlux (Spring4Shell)

• CVE-2022-25075: Router TOTOLink A3000RU

• CVE-2022-26186: Router TOTOLink N600R

• CVE-2022-26210: Router TOTOLink A830R

• CVE-2022-30525: Firewall Zyxel USG Flex 100(W)

• CVE-2022-34538: Kamera IP MEGApix

• CVE-2022-37061: Kamera sensor termal FLIX AX8

Selain itu, botnet menggunakan empat eksploit yang belum diberi pengenal. Dua di antaranya menargetkan terminal GPON dan router D-Link. Rincian tentang dua lainnya tidak jelas saat ini.

Fungsi Zerobot

Setelah memastikan keberadaannya di perangkat yang disusupi, Zerobot menyetel koneksi WebSocket ke server CommControl (C2) dan mengirimkan beberapa informasi dasar tentang korban.

C2 dapat merespons dengan salah satu dari perintah berikut:

• ping – Detak jantung, mempertahankan koneksi

• attack – Luncurkan serangan untuk protokol yang berbeda: TCP, UDP, TLS, HTTP, ICMP

• stop – Hentikan serangan

• update – Instal pembaruan dan mulai ulang Zerobot

• enable_scan – Pindai port yang terbuka dan mulailah menyebarkan dirinya melalui eksploit atau cracker SSH/Telnet

• disable_scan – Nonaktifkan pemindaian

• command – Jalankan perintah OS, cmd di Windows dan bash di Linux

• kill – Bunuh program botnet

Malware juga menggunakan modul “anti-kill” yang dirancang untuk mencegah penghentian atau penghentian prosesnya.

Saat ini, Zerobot terutama berfokus pada peluncuran serangan DDoS. Namun, ini juga dapat digunakan untuk akses awal.

Sejak Zerobot pertama kali muncul pada 18 November, pengembangnya telah memperbaikinya dengan pengaburan string, modul file salinan, modul propagasi sendiri, dan beberapa eksploit baru.

Sumber berita:

WeLiveSecurity