Le botnet "Zerobot" se propage de manière autonome et cible Spring4Shell et les vulnérabilités de l'Internet des objets
Zerobot est un botnet récemment
observé qui est capable de s'auto-répliquer et de s'auto-propager, il cible
plusieurs vulnérabilités de l'Internet des objets (IoT) pour un accès initial.
À ce jour, Fortinet a identifié
deux variantes du botnet, l'une contenant des fonctions de base, et l'autre
pouvant se répliquer et cibler davantage de points d'extrémité.
Le logiciel malveillant comprend
21 exploits, y compris du code ciblant les récentes failles Spring4Shell et F5
Big-IP, d'autres vulnérabilités connues et divers défauts de sécurité dans les
appareils IoT tels que les routeurs, les caméras de surveillance et les pares-feux.
Zerobot comprend également deux
exploits tirés d'un site Web qui prétend partager des vulnérabilités à des fins
éducatives.
Une fois qu'un appareil a été
compromis, Zerobot se copie sur le système, met en place un module pour
empêcher les utilisateurs de perturber son fonctionnement, après quoi il
initialise la connexion au serveur de commande et de contrôle (C&C) via le
protocole WebSocket et ciblant douze architectures, dont i386, amd64, arm64,
arm, mips, mipsle, mips64, mips64le, ppc64, ppc64le, riscv64 et s390x, tout ça
en envoyant un fichier JSON contenant les informations de la victime, puis attend
les commandes du serveur.
En fonction des commandes reçues,
le malware maintient la connexion en vie, lance/arrête les attaques sur
différents protocoles, se met à jour et redémarre, recherche les ports ouverts
et commence à se propager, exécute des commandes ou tue son processus.