据观察，一种名为Zerobot的基于Go的新型僵尸网络利用物联网（IoT）设备和其他软件中的近20个安全漏洞，在野外迅速扩散。

这个名为Zerobot的僵尸网络配备了许多模块，其中一些模块允许它自我复制、对各种协议发起攻击并进行自我传播。使用WebSocket协议，它还连接到处理其命令和控制功能的服务器。

该恶意软件的目标是感染其他计算机，以便将它们添加到分布式拒绝服务(DDoS)僵尸网络中，然后可用于对某些目标执行毁灭性的网络攻击。该恶意软件还包括一个“反杀”模块，旨在防止进程被终止或杀死。目前，Zerobot的主要重点是执行分布式拒绝服务攻击。另一方面，人们也可以将其用作初始访问的一种方式。

除了能够进行网络扫描和自我传播到附近的设备之外，Zerobot还能够在Windows(CMD)或Linux(Bash)上运行命令。Zerobot在被黑客攻击的设备上建立存在后，它会通过与服务器建立WebSocket连接并发送信息，将有关受害者的一些基本信息传达给命令和控制(C2)服务器。

此特定 Zerobot变体针对以下计算机架构：i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。它以文件名“零”存储，这也是活动名称的来源。为了获得对设备的访问权限，Zerobot 包含 21 个不同漏洞的漏洞利用程序并加以利用。

Zerobot 试图渗透其目标时会针对以下漏洞如：

• CVE-2022-22965：Spring MVC 和 Spring WebFlux (Spring4Shell)
• CVE-2022-25075：TOTOLink A3000RU 路由器
• CVE-2022-26186：TOTOLink N600R 路由器
• CVE-2022-26210：TOTOLink A830R 路由器
• CVE-2022-30525：Zyxel USG Flex 100(W) 防火墙
• CVE-2022-34538：MEGApix IP 摄像机
• CVE-2022-37061：FLIX AX8 热传感器摄像头
• CVE-2020-25506：D-Link DNS-320 NAS
• CVE-2021-35395：Realtek Jungle SDK
• CVE-2021-36260：海康威视产品
• CVE-2021-46422：Telesquare SDT-CW3B1 路由器
• CVE-2022-01388：F5 BIG-I
• CVE-2014-08361：Realtek SDK 中的 miniigd SOAP 服务
• CVE-2017-17106：Zivif PR115-204-P-RS 网络摄像头
• CVE-2017-17215：华为HG523路由器
• CVE-2018-12613：phpMyAdmin
• CVE-2020-10987：腾达AC15 AC1900路由器

迄今为止，已经发现了两个版本的Zerobot：一个是在2022年11月24日之前使用的，它具有基本功能和一个更新的版本，包括自传播模块，可以使用21个漏洞攻击其他端点。

这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。

Zerobot在受感染的机器上初始化后，会与远程命令控制（C2）服务器建立联系，并等待进一步的指令，允许它运行任意命令，并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。

“在很短的时间内，它被更新为字符串模糊处理、复制文件模块和传播攻击模块，这使得它更难被检测出来，并使其具有更高的感染能力。”