본문 바로가기
Security/News

제로봇 봇넷: 세부적으로 사용되는 취약성 대상 및 취약성 - CUJO AI 관련 IOC 142개 발견

by 올엠 2023. 1. 31.
반응형

IOC:
http://176.65.137.5/zero.sh
http://zero.sudolite.ml/bins/zero.[mips64
https://t.co/4GB5YTqV2V
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/bins/zero.%s
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://zero.sudolite.ml/zero.sh
http://176.65.137.5/zero.sh
http://zero.sudolite.ml/bins/zero.[mips64
http://zero.sudolite.ml/zero.sh
176.65.137.5
176.65.137.5
176.65.137.5
176.65.137.5
176.65.137.5
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
107.0.0.0
88645cefb1f9ede0e336e3569d75ee30
3612f843a42db38f48f59d2a3597e19c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요약:
2023년 1월 3일
11월 말, CUJO AI Labs는 Golang(현재는 Zerobot)으로 작성된 새로운 봇넷을 보고했는데, 여기에는 Spring4를 포함한 다양한 취약성에 대한 21가지 공격이 포함되어 있었다껍데기.

💥새로운 #IoT #봇넷 🤖 #Go에 써있는 #Zero라고 합니다
#Spring4를 포함한 21개의 공격 대상껍데기
다운로더: hxp://html.65.137[.]5/zero.sh
URL: hxp://zero.sudolite[.]ml/bins/zero.[mips64, ppc64, mipsle, arm64, riscv64] https://t.co/4GB5YTqV2V
/cc @malwrhunter team @malwrhunter pic.twitter.com/KaQCs6iTwj
— CUJO AI 연구소 (@CujoaiLabs) 2022년 11월 25일

이 기사에서는 모든 대상 취약성에 대해 이진에서 추출된 HTTP 요청 및/또는 코드를 제공하는 악용에 대해 자세히 설명합니다. 악성 프로그램 바이너리의 일부 Go 메서드는 여러 가지 취약성을 대상으로 하기 때문에 실제 공격 횟수는 21건이 아니라 22건입니다. 우리가 분석한 제로봇 샘플은 11월 24일부터 26일 사이에 고객 네트워크에서 관찰되었으며, 그 이후 악성코드가 진화하고 있다.
악용된 취약성 목록
Zerobot 이진 파일에서 발견된 모든 취약성의 목록은 아래 표에 나와 있습니다. 취약성 유형 열은 공통 취약성 열거(CWE) 목록을 기반으로 합니다. 또한 영향을 받는 장치 또는 소프트웨어 유형을 특정 모델 또는 버전 이름과 함께 나열하고 있습니다.



CVE
취약성 이름
취약성 유형(CWE)
영향을 받는 장치/소프트웨어 유형


CVE-2014-8361
Realtek SDK – Miniigd UPnP SOAP 명령 실행
잘못된 입력 유효성 검사
소프트웨어(Realtek SDK), 라우터(D-Link)


CVE-2016-2017
D-Link DSL-2750B 원격 명령 실행
명령 주입
라우터(D-Link)


CVE-2017-17215
Huawei HG532 원격 명령 실행
잘못된 입력 유효성 검사
라우터(Huawei HG532)


CVE-2018-10561/10562
다산 GPON 라우터 인증 무시 및 명령 주입 취약성
부적절한 인증 및 명령 주입
라우터(다산 GPON)



Sapido RB-1732 원격 명령 실행...

Open New Windows

제로봇 봇넷: 세부적으로 사용되는 취약성 대상 및 취약성 - CUJO AI:
https://cujo.com/the-zerobot-botnet-vulnerabilities-targeted-and-exploits-used-in-detail/

반응형

'Security > News' 카테고리의 다른 글

몰 버트 | .악성 광고 공격으로 번창하는 NET 가상화 - SentinelOne 관련 IOC 23개 발견  (0) 2023.02.03
Ghidra를 사용한 Reverse Engineering Go 바이너리, Part 2: 유형 추출, Windows PE 파일 및 Golang 버전 - CUJO AI 관련 IOC 11개 발견  (0) 2023.01.31
Quasar RAT을 유포하는 사설 HTS 프로그램 - ASEC BLOG 관련 IOC 42개 발견  (0) 2023.01.30
Magniber 랜섬웨어 국내 유포 재개(1/28) - ASEC BLOG 관련 IOC 19개 발견  (0) 2023.01.30
MAR-10365227-3.v1 중국 초퍼 웹쉘 | CISA 관련 IOC 170개 발견  (0) 2023.01.29

관련글

티스토리툴바