EnemyBot

EnemyBot on uhkaava botnet, jota kyberrikolliset käyttävät ensisijaisesti DDoS-hyökkäysten (Distributed Denial-of-Service) käynnistämiseen. Securinoxin tutkijat toivat ensimmäisen kerran esiin bottiverkon turvallisuusraportissa. Kuitenkin vain kuukautta myöhemmin Fortinet havaitsi uusia EnemyBot-näytteitä laajennetuilla tunkeutumisominaisuuksilla, jotka sisälsivät vikoja yli tusinalle eri arkkitehtuurille.

Haittaohjelman kehittäjät eivät ole hidastuneet sen jälkeen, ja AT&T Alien Labsin raportti osoittaa, että EnemyBot-versiot voivat nyt hyödyntää 24 muuta haavoittuvuutta. Äskettäin sisällytetyt tietoturvavirheet voivat vaikuttaa verkkopalvelimiin, IoT (Internet of Things) -laitteisiin, Android-laitteisiin ja sisällönhallintajärjestelmiin.

Lisättyjen haavoittuvuuksien joukossa ovat:

• CVE-2022-22954 - VMware Identity Managerista ja VMWare Workspace ONE Accessista löydetty koodin etäsuoritusvirhe.
• CVE-2022-22947 – kevään etäsuoritusvirhe, joka korjattiin nollapäivänä maaliskuussa.
• CVE-2022-1388 – koodin etäsuoritus F5 BIG-IP:ssä, joka voi sallia laitteen haltuunoton.

Suurin osa EnemyBotin uusista hyödyistä on luokiteltu kriittisiksi, kun taas joillekin ei ole edes osoitettu CVE-numeroa. Tämä on aiemmin sisältyneiden ominaisuuksien, kuten surullisen Log4Shell-hyödyntämisen, lisäksi.

EnemyBot pystyy nyt myös luomaan käänteisen kuoren rikkoutuneille järjestelmille. Jos onnistuvat, uhkatekijät voivat nyt ohittaa tietyt palomuurirajoitukset ja luoda pääsyn kohteena oleviin koneisiin. EnemyBotilla on myös omat moduulit, jotka voivat etsiä uusia sopivia laitteita ja yrittää tartuttaa ne.