EnemyBot

Το EnemyBot είναι ένα απειλητικό botnet που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου κυρίως για την εκτόξευση επιθέσεων DDoS (Distributed Denial-of-Service). Το botnet παρουσιάστηκε για πρώτη φορά σε μια έκθεση ασφαλείας από τους ερευνητές της Securinox. Ωστόσο, μόλις ένα μήνα αργότερα, η Fortinet παρατήρησε νέα δείγματα EnemyBot με διευρυμένες δυνατότητες εισβολής που περιλάμβαναν ελαττώματα για περισσότερες από δώδεκα διαφορετικές αρχιτεκτονικές.

Οι προγραμματιστές του κακόβουλου λογισμικού δεν έχουν επιβραδυνθεί από τότε και μια αναφορά από την AT&T Alien Labs δείχνει ότι οι παραλλαγές του EnemyBot μπορούν τώρα να εκμεταλλευτούν 24 επιπλέον τρωτά σημεία. Τα ελαττώματα ασφαλείας που ενσωματώθηκαν πρόσφατα μπορεί να επηρεάσουν διακομιστές ιστού, συσκευές IoT (Internet of Things), συσκευές Android και συστήματα διαχείρισης περιεχομένου.

Μεταξύ των πρόσθετων τρωτών σημείων είναι:

• CVE-2022-22954 - ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που βρέθηκε στο VMware Identity Manager και στο VMWare Workspace ONE Access.
• CVE-2022-22947 - ένα ελάττωμα εκτέλεσης απομακρυσμένου κώδικα Spring που αντιμετωπίστηκε ως μηδενική ημέρα τον Μάρτιο.
• CVE-2022-1388 - μια απομακρυσμένη εκτέλεση κώδικα σε F5 BIG-IP που μπορεί να επιτρέψει την ανάληψη συσκευής.

Τα περισσότερα από τα νέα exploits του EnemyBot ταξινομούνται ως κρίσιμα, ενώ μερικά δεν είχαν καν αριθμό CVE. Αυτό είναι πάνω από τις προηγουμένως συμπεριλαμβανόμενες δυνατότητες, όπως η αξιοποίηση της περίφημης εκμετάλλευσης Log4Shell.

Το EnemyBot είναι πλέον ικανό να δημιουργήσει ένα αντίστροφο κέλυφος στα συστήματα που έχουν παραβιαστεί. Εάν είναι επιτυχής, οι φορείς απειλής θα μπορούσαν τώρα να παρακάμψουν ορισμένους περιορισμούς του τείχους προστασίας και να αποκτήσουν πρόσβαση στα στοχευμένα μηχανήματα. Το EnemyBot διαθέτει επίσης αποκλειστικές μονάδες που μπορούν να σαρώσουν για νέες κατάλληλες συσκευές και να προσπαθήσουν να τις μολύνουν.