Computer Security Forskere vælger Enemybot Hybrid Botnet, der udsætter...

Forskere vælger Enemybot Hybrid Botnet, der udsætter reelle farer

Et team af forskere med sikkerhedsfirmaet FortiGuard offentliggjorde et nyligt blogindlæg, der beskriver en ny botnet-malware. Botnettet er primært fokuseret på at levere distribuerede denial of service-angreb og hedder Enemybot.

Enemybot er en blanding af Mirai og Gafgyt

Ifølge FortiGuard er Enemybot noget af en mutant, der låner kode og moduler fra både det berygtede Mirai botnet og Bashlite eller Gafgyt botnet, med mere lånt fra sidstnævnte. Det faktum, at begge disse botnet-familier har deres kildekode tilgængelig online, gør det nemt for nye trusselsaktører at samle faklen op, mikse og matche og producere deres egen version, ligesom Enemybot.

Den nye Enemybot-malware er forbundet med Keksec-trusselsaktøren - en enhed, der hovedsageligt er kendt for at udføre tidligere DDoS-angreb (distributed denial of service). Den nye malware er blevet opdaget af FortiGuard i angreb rettet mod routerhardware af den koreanske producent Seowon Intech, såvel som de mere populære D-Link-routere. Dårligt konfigurerede Android-enheder er også modtagelige for angreb fra malware.

De reelle farer ved Enemybot er blevet afsløret. For at kompromittere målrettede enheder tyr Enemybot til en lang række kendte udnyttelser og sårbarheder, inklusive den hotteste fra det seneste år - Log4j.

Enemybot retter sig mod en bred vifte af enheder

Malwaren installerer en fil i /tmp-mappen med filtypenavnet .pwned. .pwned-filen indeholder en simpel tekstbesked, der håner offeret og kommunikerer, hvem forfatterne er, i dette tilfælde - Keksec.

Enemybot-botnettet er rettet mod næsten enhver chiparkitektur, du kan tænke på, fra forskellige versioner af arm, til standard x64 og x86, til bsd og spc.

Når de er installeret, downloader botnettets nyttelast binære filer fra C2-serveren, og binære filer bruges til at køre DDoS-kommandoer. Malwaren har også et sløringsniveau, herunder at dens C2-server bruger et .onion-domæne.

FortiGuard mener, at malwaren stadig arbejdes aktivt på og forbedres, muligvis af mere end én trusselsaktørgruppe, på grund af ændringer, der er opdaget i forskellige versioner af .pwned-filmeddelelsen.

Indlæser...