शोधकर्ताओं ने वास्तविक खतरों को उजागर करने वाले Enemybot हाइब्रिड बॉटनेट को अलग किया
सुरक्षा फर्म FortiGuard के शोधकर्ताओं की एक टीम ने हाल ही में एक ब्लॉग पोस्ट प्रकाशित किया, जिसमें एक नए बॉटनेट मैलवेयर का विवरण दिया गया है। बॉटनेट मुख्य रूप से वितरित इनकार सेवा हमलों को वितरित करने पर केंद्रित है और इसका नाम Enemybot है।
Enemybot मिराई और Gafgyt का मिश्रण है
FortiGuard के अनुसार, Enemybot कुख्यात Mirai Botnet और Bashlite या Gafgyt बॉटनेट दोनों से एक उत्परिवर्ती, उधार कोड और मॉड्यूल है, जो बाद वाले से अधिक उधार लिया गया है। तथ्य यह है कि उन दोनों बॉटनेट परिवारों के पास अपना स्रोत कोड ऑनलाइन उपलब्ध है, जिससे नए खतरे वाले अभिनेताओं के लिए मशाल उठाना, मिश्रण करना और मैच करना और अपने स्वयं के संस्करण का निर्माण करना आसान हो जाता है, बहुत कुछ एनेमीबॉट की तरह।
नया एनिमीबॉट मालवेयर केकसेक थ्रेट ऐक्टर से जुड़ा है - एक इकाई जिसे मुख्य रूप से पिछले डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (डीडीओएस) हमलों को दूर करने के लिए जाना जाता है। नए मैलवेयर को FortiGuard द्वारा कोरियाई निर्माता Seowon Intech द्वारा राउटर हार्डवेयर को लक्षित करने वाले हमलों के साथ-साथ अधिक लोकप्रिय D-Link राउटर्स में देखा गया है। खराब तरीके से कॉन्फ़िगर किए गए Android डिवाइस भी मैलवेयर के हमले के लिए अतिसंवेदनशील होते हैं।
Enemybot के असली खतरे उजागर हो गए हैं। लक्षित उपकरणों से समझौता करने के लिए, Enemybot ज्ञात कारनामों और कमजोरियों की एक विस्तृत श्रृंखला का सहारा लेता है, जिसमें पिछले वर्ष से सबसे गर्म - Log4j शामिल है।
Enemybot उपकरणों की विस्तृत श्रृंखला को लक्षित करता है
मैलवेयर एक फ़ाइल को /tmp निर्देशिका में .pwned एक्सटेंशन के साथ परिनियोजित करता है। .pwned फ़ाइल में एक साधारण टेक्स्ट संदेश होता है, जो पीड़ित को ताना मारता है और यह बताता है कि लेखक कौन हैं, इस मामले में - केकसेक।
एनेमीबॉट बॉटनेट लगभग हर चिप आर्किटेक्चर को लक्षित करता है, जिसके बारे में आप सोच सकते हैं, आर्म के विभिन्न संस्करणों से लेकर मानक x64 और x86 तक, bsd और spc तक।
एक बार तैनात होने के बाद, बोटनेट का पेलोड C2 सर्वर से बायनेरिज़ डाउनलोड करता है, और बायनेरिज़ का उपयोग DDoS कमांड को चलाने के लिए किया जाता है। मैलवेयर में एक .onion डोमेन का उपयोग करने वाले C2 सर्वर के होने सहित, अस्पष्टता का एक स्तर भी है।
FortiGuard का मानना है कि .pwned फ़ाइल संदेश के विभिन्न संस्करणों में पाए गए परिवर्तनों के कारण, मैलवेयर पर अभी भी सक्रिय रूप से काम किया जा रहा है और संभवतः एक से अधिक खतरे वाले अभिनेता समूह द्वारा सुधार किया जा रहा है।