СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 марта
#ИБ#Инфра

Zerobot (Mirai) использует CVE-2025-7544 и CVE-2025-68613

Группа анализа безопасности и реагирования Akamai (SIRT) зафиксировала продолжающуюся эксплуатацию двух недавно раскрытых уязвимостей — CVE-2025-7544 и CVE-2025-68613 — в рамках вредоносной кампании на базе Mirai, получившей обозначение Zerobot. Эксплуатация, по данным SIRT, была впервые обнаружена в январе 2026 года, после публичного раскрытия уязвимостей в середине 2025 года.

Краткое описание угрозы

Атакующие используют уязвимости для внедрения команд и последующей загрузки вредоносных скриптов, которые затем разворачивают полезную нагрузку Mirai — в частности версию с именем zerobotv9. Вредоносное ПО загружает и выполняет скрипт tol.sh с IP-адреса в США и затем инсталлирует ботнет-агент с расширенной поддержкой архитектур и новыми методами атаки.

«Эксплуатация была впервые обнаружена в январе 2026 года, после публичного раскрытия уязвимостей в середине 2025 года», — указывает Akamai SIRT.

Что именно эксплуатируется

  • CVE-2025-7544 — критическое переполнение буфера в прошивке маршрутизатора Tenda AC1206. Атакующий может вызвать выполнение произвольного кода, отправив 500 символов «A» в параметре deviceList к уязвимой конечной точке /goform/setMacFilterCfg.
  • CVE-2025-68613 — Remote Code Execution (RCE) на платформе n8n, позволяющая злоумышленникам выполнить произвольные команды на сервере автоматизации.
  • Кроме того, Zerobot использует ряд уже известных уязвимостей, включая CVE-2017-9841, CVE-2021-3129 и CVE-2022-22947, расширяя набор возможных векторных точек входа.

Поведение Zerobot и возможности zerobotv9

Новая версия вредоноса, zerobotv9, примечательна следующими характеристиками:

  • Поддержка множества архитектур (повышенная переносимость при распространении по IoT-устройствам).
  • Жёстко закодированная command-and-control область: 0bot.qzz.io.
  • Расширенный набор атакующих техник: TCPXmas, Mixamp и атаки через SSH.
  • Загрузка и исполнение внешнего сценария tol.sh, расположенного на IP-адресе в США, после чего осуществляется установка Mirai-полезной нагрузки.
  • Использование стандартных утилит и тулкитов для управления доставкой и виконанием: netcat, socat и разнообразные shell-скрипты.

Техники атаки и эксплуатация

Методика кампаний Zerobot сочетает простые, но эффективные приёмы: автоматизированное сканирование сети в поисках уязвимых устройств, использование публично описанных эксплойтов для получения начального доступа и последующая загрузка готовых бинарников Mirai. Это делает атаку доступной даже для менее опытных злоумышленников — развернуть ботнет можно с минимальными инвестициями в R&D.

IOC, правила YARA и рекомендации SIRT

Akamai SIRT опубликовала набор IOC и сигнатур, помогающих обнаружить и блокировать кампанию. В предоставленных материалах указаны IP-адреса и домены, задействованные для доставки tol.sh и C2, а также правила YARA для идентификации потенциального Mirai-вредоноса.

  • Важный домен: 0bot.qzz.io (жестко закодирован в zerobotv9).
  • Указаны IP-адреса серверов доставки скриптов (включая американские хосты) — см. материалы SIRT для конкретики и оперативной блокировки.
  • Рекомендованные YARA-правила — для массового сканирования и отбрасывания подозрительных бинарников Mirai.

Практические рекомендации по защите

  • Немедленно примените патчи и обновление прошивки для устройств Tenda AC1206 и обновите инсталляции n8n. Исправление уязвимостей — первоочередная мера.
  • Ограничьте внешние подключения к административным интерфейсам (фильтрация по IP, VPN, zero-trust подход).
  • Блокируйте домен 0bot.qzz.io и известные IP-адреса доставки на уровне сети и прокси/Firewall.
  • Внедрите мониторинг на предмет вызовов /goform/setMacFilterCfg, необычных payload-строк в параметре deviceList, а также попыток запуска netcat/socat.
  • Используйте предоставленные IOC и YARA-правила для проактивного сканирования и threat hunting.
  • Сегментируйте IoT-устройства от критической инфраструктуры и контролируйте исходящий трафик (egress filtering).
  • Обучите персонал реагированию: обнаружение, изоляция и восстановление после компрометации n8n-сервера или IoT-устройства.

Вывод

Случай Zerobot демонстрирует, что даже старые семейства вредоносов остаются актуальными при наличии новых уязвимостей: сочетание простых, публично описанных эксплойтов и готовых Mirai-бинарников позволяет злоумышленникам быстро наращивать ботнеты. Akamai SIRT подчёркивает необходимость срочного исправления уязвимых систем и использования IOC/YARA для обнаружения и предотвращения распространения кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: