EnemyBot
EnemyBot یک بات نت تهدیدکننده است که مجرمان سایبری عمدتاً از آن برای راه اندازی حملات DDoS (Distributed Denial-of-Service) استفاده می کنند. این بات نت اولین بار در گزارش امنیتی توسط محققان Securinox آشکار شد. با این حال، تنها یک ماه بعد، Fortinet نمونههای جدید EnemyBot را با قابلیتهای نفوذ گسترده مشاهده کرد که شامل نقصهایی برای بیش از دوجین معماری مختلف بود.
توسعه دهندگان این بدافزار از آن زمان سرعت خود را کاهش نداده اند و گزارشی از AT&T Alien Labs نشان می دهد که انواع EnemyBot اکنون می توانند از 24 آسیب پذیری اضافی سوء استفاده کنند. نقصهای امنیتی جدید میتواند بر سرورهای وب، دستگاههای IoT (اینترنت اشیا)، دستگاههای Android و سیستمهای مدیریت محتوا تأثیر بگذارد.
از جمله آسیب پذیری های اضافه شده عبارتند از:
- CVE-2022-22954 - یک نقص اجرای کد از راه دور که در VMware Identity Manager و VMWare Workspace ONE Access یافت می شود.
- CVE-2022-22947 - یک نقص اجرای کد از راه دور Spring که در ماه مارس به عنوان یک روز صفر بررسی شد.
- CVE-2022-1388 - اجرای کد از راه دور در F5 BIG-IP که می تواند امکان کنترل دستگاه را فراهم کند.
اکثر اکسپلویت های جدید EnemyBot به عنوان بحرانی طبقه بندی می شوند در حالی که برخی حتی یک شماره CVE به آنها اختصاص داده نشده است. این بالاتر از قابلیتهایی است که قبلاً گنجانده شده بود، مانند استفاده از سوء استفاده بدنام Log4Shell.
EnemyBot اکنون همچنین قادر به ایجاد یک پوسته معکوس بر روی سیستم های شکسته شده است. در صورت موفقیت، عوامل تهدید اکنون میتوانند محدودیتهای فایروال خاصی را دور بزنند و به ماشینهای مورد نظر دسترسی پیدا کنند. EnemyBot همچنین دارای ماژول های اختصاصی است که می تواند دستگاه های مناسب جدید را اسکن کرده و سعی در آلوده کردن آنها داشته باشد.