A kutatók különválasztják az Enemybot hibrid botnetet, amely valódi veszélyeket fed fel

A FortiGuard biztonsági cég kutatócsoportja nemrégiben közzétett egy blogbejegyzést, amely egy új botnet rosszindulatú szoftvert mutat be. A botnet elsősorban az elosztott szolgáltatásmegtagadási támadásokra összpontosít, és az Enemybot nevet viseli.

Az Enemybot Mirai és Gafgyt keveréke

A FortiGuard szerint az Enemybot valamiféle mutáns, kódot és modulokat kölcsönöz mind a hírhedt Mirai botnettől, mind a Bashlite vagy Gafgyt botnettől , az utóbbitól pedig többet. Az a tény, hogy mindkét botnet családnak elérhető a forráskódja az interneten, megkönnyíti az új fenyegetés szereplői számára, hogy felvegyék a fáklyát, összekeverjék és összeállítsák a saját verziójukat, hasonlóan az Enemybothoz.

Az új Enemybot kártevő a Keksec fenyegetés szereplőjéhez kapcsolódik – egy entitás, amely főként a korábbi elosztott szolgáltatásmegtagadási (DDoS) támadások leküzdéséről ismert. Az új kártevőt a FortiGuard a koreai Seowon Intech gyártó router hardverét, valamint a népszerűbb D-Link routereket célzó támadásokban vette észre. A rosszul konfigurált Android-eszközök is érzékenyek a rosszindulatú programok támadására.

Az Enemybot valós veszélyeit leleplezték. A megcélzott eszközök veszélyeztetése érdekében az Enemybot az ismert kihasználások és sebezhetőségek széles skáláját használja, beleértve az elmúlt év legforróbbat, a Log4j-t.

Az Enemybot eszközök széles skáláját célozza meg

A rosszindulatú program egy fájlt telepít a /tmp könyvtárba, .pwned kiterjesztéssel. A .pwned fájl egy egyszerű szöveges üzenetet tartalmaz, amely gúnyolódik az áldozaton, és közli, hogy kik a szerzők, jelen esetben - Keksec.

Az Enemybot botnet szinte minden elképzelhető chip-architektúrát megcéloz, az arm különféle verzióitól a szabványos x64-en és x86-on át a bsd-ig és az spc-ig.

Telepítés után a botnet hasznos tartalma bináris fájlokat tölt le a C2-kiszolgálóról, és a binárisokat a DDoS-parancsok futtatására használják. A rosszindulatú programnak bizonyos szintű elfedése is van, beleértve azt is, hogy C2 szervere .onion tartományt használ.

A FortiGuard úgy véli, hogy a .pwned fájlüzenet különböző verzióiban észlelt változások miatt a rosszindulatú programon még mindig aktívan dolgoznak és fejlesztik, valószínűleg több fenyegető cselekvőcsoport is.