Computer Security Výzkumníci si vybrali Enemybot Hybrid Botnet odhalující...

Výzkumníci si vybrali Enemybot Hybrid Botnet odhalující skutečná nebezpečí

Tým výzkumníků s bezpečnostní firmou FortiGuard zveřejnil nedávný blogový příspěvek, který podrobně popisuje nový malware botnetu. Botnet je primárně zaměřen na distribuované útoky typu denial of service a jmenuje se Enemybot .

Enemybot je mix Mirai a Gafgyt

Podle FortiGuard je Enemybot něco jako mutant, vypůjčuje si kód a moduly jak z nechvalně známého botnetu Mirai, tak z botnetu Bashlite nebo Gafgyt , přičemž další si vypůjčil od druhého jmenovaného. Skutečnost, že obě tyto rodiny botnetů mají svůj zdrojový kód dostupný online, usnadňuje novým aktérům hrozeb zvednout pochodeň, míchat a porovnávat a vytvářet vlastní verzi, podobně jako Enemybot.

Nový malware Enemybot je spojen s aktérem hrozeb Keksec – entitou známou především tím, že odstraňuje předchozí útoky distribuovaného odmítnutí služby (DDoS) . Nový malware byl spatřen společností FortiGuard při útocích zaměřených na hardware routeru od korejského výrobce Seowon Intech, stejně jako na populárnější routery D-Link. Špatně nakonfigurovaná zařízení Android jsou také náchylná k útoku malwaru.

Skutečná nebezpečí Enemybota byla odhalena. Pro kompromitaci cílených zařízení se Enemybot uchýlí k široké škále známých exploitů a zranitelností, včetně toho nejžhavějšího z minulého roku – Log4j.

Enemybot se zaměřuje na širokou škálu zařízení

Malware nasadí soubor v adresáři /tmp s příponou .pwned. Soubor .pwned obsahuje jednoduchou textovou zprávu, která zesměšňuje oběť a sděluje, kdo jsou autoři, v tomto případě - Keksec.

Botnet Enemybot se zaměřuje na téměř každou architekturu čipů, na kterou si vzpomenete, od různých verzí arm, přes standardní x64 a x86 až po bsd a spc.

Po nasazení si datová část botnetu stáhne binární soubory ze serveru C2 a binární soubory se používají ke spouštění příkazů DDoS. Malware má také určitou úroveň zmatku, včetně toho, že jeho server C2 používá doménu .onion.

Společnost FortiGuard se domnívá, že na malwaru se stále aktivně pracuje a je vylepšován, možná ze strany více než jedné skupiny aktérů hrozeb, kvůli změnám zjištěným v různých verzích zprávy o souboru .pwned.

Načítání...