EnemyBot

Az EnemyBot egy fenyegető botnet, amelyet a kiberbűnözők elsősorban DDoS (Distributed Denial-of-Service) támadások indítására használnak. A botnetet először a Securinox kutatói biztonsági jelentésben hozták nyilvánosságra. Mindössze egy hónappal később azonban a Fortinet új EnemyBot mintákat figyelt meg kibővített behatolási képességekkel, amelyek több mint egy tucat különböző architektúra hibáit tartalmazták.

A kártevő fejlesztői azóta sem lassítottak, és az AT&T Alien Labs jelentése szerint az EnemyBot változatai immár 24 további sebezhetőséget is kihasználhatnak. Az újonnan beépített biztonsági hibák webszervereket, IoT-eszközöket, Android-eszközöket és tartalomkezelő rendszereket érinthetnek.

A hozzáadott sebezhetőségek közé tartozik:

• CVE-2022-22954 – távoli kódvégrehajtási hiba a VMware Identity Managerben és a VMWare Workspace ONE Accessben.
• CVE-2022-22947 – tavaszi távoli kódvégrehajtási hiba, amelyet márciusban nulladik napként kezeltek.
• CVE-2022-1388 – távoli kódvégrehajtás F5 BIG-IP-ben, amely lehetővé teszi az eszköz átvételét.

Az EnemyBot legtöbb új exploitja kritikusnak minősül, míg néhányhoz még CVE-szám sem volt hozzárendelve. Ez felülmúlja a korábban beépített képességeket, például a hírhedt Log4Shell kihasználását.

Az EnemyBot mostantól képes egy fordított shell létrehozására is a feltört rendszereken. Siker esetén a fenyegetés szereplői most már megkerülhetnek bizonyos tűzfal-korlátozásokat, és hozzáférést biztosíthatnak a megcélzott gépekhez. Az EnemyBot dedikált modulokkal is rendelkezik, amelyek képesek új megfelelő eszközök után kutatni, és megkísérlik megfertőzni azokat.