EnemyBot

EnemyBot er et truende botnet, som cyberkriminelle primært bruger til at lancere DDoS (Distributed Denial-of-Service)-angreb. Botnettet blev først bragt frem i lyset i en sikkerhedsrapport af forskerne hos Securinox. Men kun en måned senere observerede Fortinet nye EnemyBot-prøver med udvidede indtrængningsegenskaber, der omfattede fejl i over et dusin forskellige arkitekturer.

Udviklerne af malwaren har ikke bremset op siden da, og en rapport fra AT&T Alien Labs viser, at EnemyBot-varianter nu kan udnytte 24 yderligere sårbarheder. De nyligt indarbejdede sikkerhedsfejl kan påvirke webservere, IoT-enheder (Internet of Things), Android-enheder og indholdsstyringssystemer.

Blandt de tilføjede sårbarheder er:

• CVE-2022-22954 - en fejl ved fjernudførelse af kode fundet i VMware Identity Manager og VMWare Workspace ONE Access.
• CVE-2022-22947 - en fejl ved fjernudførelse af fjederkode, der blev rettet som en nul-dag tilbage i marts.
• CVE-2022-1388 - en fjernudførelse af kode i F5 BIG-IP, der kan tillade enhedsovertagelse.

De fleste af EnemyBots nye udnyttelser er klassificeret som kritiske, mens nogle ikke engang havde et CVE-nummer tildelt dem. Dette er oven i de tidligere inkluderede muligheder, såsom at drage fordel af den berygtede Log4Shell-udnyttelse.

EnemyBot er nu også i stand til at skabe en omvendt skal på de brudte systemer. Hvis det lykkes, kan trusselsaktørerne nu være i stand til at omgå visse firewall-restriktioner og etablere adgang til de målrettede maskiner. EnemyBot har også dedikerede moduler, der kan scanne efter nye passende enheder og forsøge at inficere dem.