Οι ερευνητές διαλέγουν το Enemybot Hybrid Botnet που εκθέτει πραγματικούς κινδύνους

Μια ομάδα ερευνητών με την εταιρεία ασφαλείας FortiGuard δημοσίευσε μια πρόσφατη ανάρτηση ιστολογίου, που περιγράφει λεπτομερώς ένα νέο κακόβουλο λογισμικό botnet. Το botnet επικεντρώνεται κυρίως στην παροχή κατανεμημένων επιθέσεων άρνησης υπηρεσίας και ονομάζεται Enemybot .

Το Enemybot είναι ένας συνδυασμός Mirai και Gafgyt

Σύμφωνα με το FortiGuard, το Enemybot είναι κάτι σαν μεταλλαγμένος, δανειζόμενος κώδικας και μονάδες τόσο από το διαβόητο botnet Mirai όσο και από το botnet Bashlite ή Gafgyt , με περισσότερα δανεικά από το τελευταίο. Το γεγονός ότι και οι δύο αυτές οικογένειες botnet έχουν τον πηγαίο κώδικα τους διαθέσιμο στο Διαδίκτυο, διευκολύνει τους νέους φορείς απειλών να πάρουν τον πυρσό, να συνδυάσουν και να δημιουργήσουν τη δική τους έκδοση, όπως το Enemybot.

Το νέο κακόβουλο λογισμικό Enemybot σχετίζεται με τον παράγοντα απειλής Keksec - μια οντότητα που είναι γνωστή κυρίως για την απόσυρση προηγούμενων κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS) . Το νέο κακόβουλο λογισμικό εντοπίστηκε από το FortiGuard σε επιθέσεις που στοχεύουν το υλικό δρομολογητών από τον κορεάτη κατασκευαστή Seowon Intech, καθώς και τους πιο δημοφιλείς δρομολογητές D-Link. Οι κακώς διαμορφωμένες συσκευές Android είναι επίσης επιρρεπείς σε επιθέσεις από το κακόβουλο λογισμικό.

Οι πραγματικοί κίνδυνοι του Enemybot έχουν αποκαλυφθεί. Για να θέσει σε κίνδυνο στοχευμένες συσκευές, το Enemybot καταφεύγει σε ένα ευρύ φάσμα γνωστών εκμεταλλεύσεων και ευπάθειας, συμπεριλαμβανομένου του πιο δημοφιλούς του περασμένου έτους - του Log4j.

Το Enemybot στοχεύει ένα ευρύ φάσμα συσκευών

Το κακόβουλο λογισμικό αναπτύσσει ένα αρχείο στον κατάλογο /tmp, με την επέκταση .pwned. Το αρχείο .pwned περιέχει ένα απλό μήνυμα κειμένου, που χλευάζει το θύμα και γνωστοποιεί ποιοι είναι οι συντάκτες, σε αυτήν την περίπτωση - Keksec.

Το botnet Enemybot στοχεύει σχεδόν κάθε αρχιτεκτονική τσιπ που μπορείτε να σκεφτείτε, από διάφορες εκδόσεις του βραχίονα, έως τυπικές x64 και x86, έως bsd και spc.

Μόλις αναπτυχθεί, το ωφέλιμο φορτίο του botnet πραγματοποιεί λήψη δυαδικών αρχείων από τον διακομιστή C2 και τα δυαδικά αρχεία χρησιμοποιούνται για την εκτέλεση εντολών DDoS. Το κακόβουλο λογισμικό έχει επίσης ένα επίπεδο συσκότισης, συμπεριλαμβανομένης της χρήσης του διακομιστή C2 του τομέα .onion.

Η FortiGuard πιστεύει ότι το κακόβουλο λογισμικό εξακολουθεί να εργάζεται ενεργά και να βελτιώνεται, πιθανώς από περισσότερες από μία ομάδες παραγόντων απειλών, λόγω αλλαγών που εντοπίστηκαν σε διαφορετικές εκδόσεις του μηνύματος αρχείου .pwned.