I ricercatori mettono a parte Enemybot Hybrid Botnet esponendo pericoli reali
Un team di ricercatori con la società di sicurezza FortiGuard ha pubblicato un recente post sul blog, descrivendo in dettaglio un nuovo malware botnet. La botnet è principalmente focalizzata sulla fornitura di attacchi denial of service distribuiti ed è denominata Enemybot.
Enemybot è un mix di Mirai e Gafgyt
Secondo FortiGuard, Enemybot è una specie di mutante, che prende in prestito codice e moduli sia dalla famigerata botnet Mirai che dalla botnet Bashlite o Gafgyt, con più prese in prestito da quest'ultima. Il fatto che entrambe le famiglie di botnet abbiano il loro codice sorgente disponibile online rende facile per i nuovi attori delle minacce raccogliere la torcia, mescolare e abbinare e produrre la propria versione, proprio come Enemybot.
Il nuovo malware Enemybot è associato all'attore delle minacce Keksec, un'entità nota principalmente per aver realizzato precedenti attacchi DDoS (Distributed Denial of Service). Il nuovo malware è stato individuato da FortiGuard in attacchi contro l'hardware del router del produttore coreano Seowon Intech, così come i più popolari router D-Link. Anche i dispositivi Android mal configurati sono suscettibili agli attacchi del malware.
I veri pericoli di Enemybot sono stati smascherati. Per compromettere i dispositivi presi di mira, Enemybot ricorre a un'ampia gamma di exploit e vulnerabilità noti, incluso quello più caldo dell'ultimo anno: Log4j.
Enemybot prende di mira un'ampia gamma di dispositivi
Il malware distribuisce un file nella directory /tmp, con estensione .pwned. Il file .pwned contiene un semplice messaggio di testo, che schernisce la vittima e comunica chi sono gli autori, in questo caso - Keksec.
La botnet Enemybot prende di mira quasi tutte le architetture di chip immaginabili, da varie versioni di arm, agli standard x64 e x86, a bsd e spc.
Una volta distribuito, il payload della botnet scarica i binari dal server C2 e i binari vengono utilizzati per eseguire comandi DDoS. Il malware ha anche un livello di offuscamento, incluso il fatto che il suo server C2 utilizzi un dominio .onion.
FortiGuard ritiene che il malware sia ancora attivamente lavorato e migliorato, probabilmente da più di un gruppo di attori delle minacce, a causa delle modifiche rilevate in diverse versioni del messaggio del file .pwned.