EnemyBot
EnemyBot은 사이버 범죄자들이 주로 DDoS(분산 서비스 거부) 공격을 시작하는 데 사용하는 위협적인 봇넷입니다. 봇넷은 Securinox 연구원의 보안 보고서에서 처음으로 밝혀졌습니다. 그러나 불과 한 달 후 Fortinet은 12개 이상의 서로 다른 아키텍처에 대한 결함을 포함하는 확장된 침입 기능을 갖춘 새로운 EnemyBot 샘플을 관찰했습니다.
그 이후로 멀웨어 개발자는 속도를 늦추지 않았으며 AT&T Alien Labs의 보고서에 따르면 EnemyBot 변종은 이제 24개의 추가 취약점을 악용할 수 있습니다. 새로 통합된 보안 결함은 웹 서버, IoT(사물 인터넷) 장치, Android 장치 및 콘텐츠 관리 시스템에 영향을 줄 수 있습니다.
추가된 취약점은 다음과 같습니다.
- CVE-2022-22954 - VMware Identity Manager 및 VMWare Workspace ONE Access에서 발견된 원격 코드 실행 결함.
- CVE-2022-22947 - 3월에 제로데이로 해결된 Spring 원격 코드 실행 결함.
- CVE-2022-1388 - 장치 인계를 허용할 수 있는 F5 BIG-IP의 원격 코드 실행.
대부분의 EnemyBot의 새로운 익스플로잇은 심각한 것으로 분류되지만 일부는 할당된 CVE 번호조차 없습니다. 이것은 악명 높은 Log4Shell 익스플로잇을 이용하는 것과 같이 이전에 포함된 기능 위에 있습니다.
이제 EnemyBot은 침해된 시스템에서 역방향 쉘을 생성할 수도 있습니다. 성공하면 위협 행위자는 이제 특정 방화벽 제한을 우회하고 대상 시스템에 대한 액세스를 설정할 수 있습니다. EnemyBot은 또한 새로운 적합한 장치를 스캔하고 감염을 시도할 수 있는 전용 모듈을 보유하고 있습니다.
