微软发现：全球不同类型物联网设备被感染一年之久

新发现的Zerobot僵尸网络继续发展，越来越多地针对连接设备。

根据微软发布的一份报告显示，最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力，将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。

Zerobot 影响各种设备，包括防火墙设备、路由器和摄像头，将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块，该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备，找到要感染的其他设备，实现持久性并攻击一系列协议。Microsoft 将此活动跟踪为 DEV-1061。

Zerobot 的最新发行版包括其他功能，例如利用 Apache 和 Apache Spark 中的漏洞（分别为 CVE-2021-42013 和 CVE-2022-33891），以及新的 DDoS 攻击功能。

Microsoft 使用 DEV-#### 名称作为未知、新兴或发展中的威胁活动集群的临时名称，允许 Microsoft 将其作为一组独特的信息进行跟踪，直到对威胁的来源或身份达到高度信任为止活动背后的参与者。一旦满足定义的标准，DEV 组就会转换为指定的参与者。

据微软称，这种恶意软件主要通过未打补丁和保护不当的物联网设备传播，如防火墙、路由器和摄像头。黑客不断修改僵尸网络，以扩大和发现尽可能多的设备。

微软发现了Zerobot滥用的7个新漏洞，此外还有21个漏洞，如本月早些时候由Fortinet发现的Spring4Shell和F5 Big。

Zerobot 1.1 包含的几个新漏洞（不完全）

Zerobot的升级版利用了Apache web服务器软件、Apache Spark数据处理引擎和通信设备制造商Grandstream等公司的漏洞。

更新后的恶意软件还具有七种新的DDoS功能。根据微软的说法，成功的DDoS攻击可能会被威胁行为者用来勒索赎金，分散其他恶意活动的注意力，或破坏运营。

之前已知的 Zerobot 功能

以前未公开的新功能

Zerobot是用Go编程语言编写的，主要影响Linux设备。微软声称发现了几个可以在Windows上运行的恶意软件样本。在Windows电脑上，恶意软件会将自己复制到名为FireWall.exe的启动文件夹中。

微软研究人员发现其中一个样本基于跨平台（Linux、Windows、macOS）开源远程管理工具（RAT），具有管理进程、文件操作、屏幕截图和运行命令等多种功能。该工具是通过调查恶意软件使用的命令和控制 (C2) IP 发现的。用于下载此 RAT 的脚本称为impst.sh：

用于下载远程管理工具的impst.sh脚本

Zerobot针对使用默认或弱凭据的不安全配置的物联网设备。恶意软件可能会试图通过使用8个常用用户名和130个密码的组合来获得设备访问权限。一旦获得对设备的访问权，Zerobot就会注入恶意有效载荷，下载并试图执行僵尸网络。

恶意软件在Linux和Windows上有不同的持久机制。黑客使用持久性策略来保持对设备的访问，并在未来寻找其他暴露在互联网上的设备进行感染。

当用户愿意付费发动DDoS攻击时，它就会作为恶意软件即服务方案的一部分提供。微软表示，购买Zerobot恶意软件的黑客可以根据目标修改攻击。

微软表示，恶意软件即服务的“商业模式”使网络攻击工业化，使威胁行为者更容易购买恶意软件，并保持对受损网络的访问。

研究人员在各种社交媒体网络上追踪了Zerobot僵尸网络的广告。

去年12月，FBI查获了48个与DDoS-for-hire服务有关的域名，其中一个与Zerobot有链接。