EnemyBot

До Mezo през Botnetsг

Превод на:

EnemyBot е заплашителен ботнет, който киберпрестъпниците използват предимно за стартиране на DDoS (разпределен отказ на услуга) атаки. За първи път ботнетът беше разкрит в доклад за сигурността от изследователите от Securinox. Въпреки това, само месец по-късно, Fortinet наблюдава нови проби на EnemyBot с разширени възможности за проникване, които обхващат недостатъци за над дузина различни архитектури.

Оттогава разработчиците на зловредния софтуер не са се забавили, а доклад от AT&T Alien Labs показва, че вариантите на EnemyBot вече могат да използват 24 допълнителни уязвимости. Нововключените пропуски в сигурността могат да засегнат уеб сървъри, IoT (Интернет на нещата) устройства, Android устройства и системи за управление на съдържанието.

Сред добавените уязвимости са:

CVE-2022-22954 - недостатък в дистанционното изпълнение на код, открит във VMware Identity Manager и VMWare Workspace ONE Access.
CVE-2022-22947 - грешка в пролетното отдалечено изпълнение на код, която беше адресирана като нулев ден още през март.
CVE-2022-1388 - отдалечено изпълнение на код в F5 BIG-IP, което може да позволи поемане на устройство.

Повечето от новите експлойти на EnemyBot са класифицирани като критични, докато някои дори нямат CVE номер, присвоен за тях. Това е в допълнение към включените по-рано възможности, като например използването на прословутия експлойт Log4Shell.

EnemyBot вече е в състояние да създаде обратна обвивка на пробитите системи. Ако успеят, участниците в заплахата вече биха могли да заобиколят определени ограничения на защитната стена и да установят достъп до целевите машини. EnemyBot също притежава специални модули, които могат да сканират за нови подходящи устройства и да се опитват да ги заразят.