חוקרים בחרו בנפרד רשת בוט היברידית של Enemybot החושפת סכנות אמיתיות

צוות חוקרים עם חברת האבטחה FortiGuard פרסם לאחרונה פוסט בבלוג, המפרט תוכנה זדונית חדשה של בוטנט. הבוטנט מתמקד בעיקר באספקת התקפות מניעת שירות מבוזרות ונקרא Enemybot .

Enemybot הוא שילוב של Mirai ו-Gafgyt

לפי FortiGuard, Enemybot הוא משהו כמו מוטציה, שואל קוד ומודולים הן מהבוטנט Mirai הידוע לשמצה והן מהבוטנט Bashlite או Gafgyt , כאשר יותר מושאל מהאחרון. העובדה שלשתי משפחות הבוטנט האלה יש את קוד המקור שלהן זמין באינטרנט מקלה על שחקני איומים חדשים להרים את הלפיד, לערבב ולהתאים ולהפיק גרסה משלהם, בדומה ל-Enemybot.

התוכנה הזדונית החדשה של Enemybot קשורה לשחקן האיום של Keksec - ישות הידועה בעיקר בביצוע התקפות מניעת שירות מבוזרות קודמות (DDoS) . התוכנה הזדונית החדשה אותרה על ידי FortiGuard בהתקפות המכוונות לחומרת הנתב על ידי היצרנית הקוריאנית Seowon Intech, כמו גם הנתבים הפופולריים יותר של D-Link. מכשירי אנדרואיד בעלי תצורה גרועה רגישים גם להתקפות של תוכנות זדוניות.

הסכנות האמיתיות של Enemybot נחשפו. כדי להתפשר על מכשירים ממוקדים, Enemybot נעזר במגוון רחב של ניצולים ופגיעויות ידועות, כולל החם ביותר מהשנה האחרונה - Log4j.

Enemybot מכוון למגוון רחב של מכשירים

התוכנה הזדונית פורסת קובץ בספריית /tmp, עם הסיומת .pwned. קובץ ה-.pwned מכיל הודעת טקסט פשוטה, מתגרה בקורבן ומתקשרת מי הם המחברים, במקרה זה - Keksec.

הבוטנט של Enemybot מכוון כמעט לכל ארכיטקטורת שבבים שאתה יכול לחשוב עליה, מגרסאות שונות של זרוע, ל-x64 ו-x86 סטנדרטיים, ועד bsd ו-spc.

לאחר הפריסה, המטען של הבוטנט מוריד קבצים בינאריים משרת C2, והקבצים הבינאריים משמשים להפעלת פקודות DDoS. לתוכנה הזדונית יש גם רמה של ערפול, כולל שרת C2 שלה משתמש בדומיין .onion.

FortiGuard מאמינה שעדיין עובדים על התוכנה הזדונית ומשופרת באופן פעיל, אולי על ידי יותר מקבוצת גורמי איומים אחת, עקב שינויים שזוהו בגרסאות שונות של הודעת הקובץ .pwned.