Tyrėjai pasirenka „Enemybot“ hibridinį robotų tinklą, keliantį tikrus pavojus

Saugos įmonės „FortiGuard“ tyrėjų komanda paskelbė neseniai paskelbtą tinklaraščio įrašą, kuriame išsamiai aprašoma nauja „botnet“ kenkėjiška programa. Botnetas pirmiausia yra skirtas paskirstytų paslaugų atsisakymo atakoms vykdyti ir yra pavadintas „ Enemybot“ .

„Enemybot“ yra „Mirai“ ir „Gafgyt“ mišinys

Anot „FortiGuard“, „Enemybot“ yra kažkas panašaus į mutantą, skolinantis kodą ir modulius iš liūdnai pagarsėjusio „ Mirai “ ir „ Bashlite “ arba „Gafgyt“ botneto , o daugiau pasiskolinta iš pastarojo. Tai, kad abiejų botnetų šeimų šaltinio kodas yra prieinamas internete, leidžia naujiems grėsmės veikėjams lengvai pasiimti žibintuvėlį, maišyti ir suderinti bei sukurti savo versiją, panašiai kaip „Enemybot“.

Naujoji „Enemybot“ kenkėjiška programa yra susijusi su „Keksec“ grėsmės veikėju – subjektu, daugiausia žinomu dėl ankstesnių paskirstytų paslaugų atsisakymo (DDoS) atakų šalinimo. Naują kenkėjišką programą „FortiGuard“ pastebėjo per atakas, nukreiptas prieš Korėjos gamintojo „Seowon Intech“ maršrutizatorių aparatinę įrangą, taip pat į populiaresnius „D-Link“ maršrutizatorius. Prastai sukonfigūruotus Android įrenginius taip pat gali atakuoti kenkėjiška programa.

Tikrieji „Enemybot“ pavojai buvo atskleisti. Siekdama pakenkti tiksliniams įrenginiams, „Enemybot“ naudojasi daugybe žinomų išnaudojimų ir pažeidžiamumų, įskaitant patį karščiausią praėjusių metų – „Log4j“.

„Enemybot“ taikosi į daugybę įrenginių

Kenkėjiška programa diegia failą /tmp kataloge, kurio plėtinys yra .pwned. .pwned faile yra paprasta tekstinė žinutė, kurioje tyčiojamasi iš aukos ir pranešama, kas yra autoriai, šiuo atveju – Keksec.

„Enemybot“ botnetas taikomas beveik kiekvienai lustų architektūrai, kurią galite įsivaizduoti, nuo įvairių arm versijų iki standartinių x64 ir x86 iki bsd ir spc.

Įdiegę robotų tinklo naudingoji apkrova atsisiunčia dvejetainius failus iš C2 serverio, o dvejetainiai failai naudojami DDoS komandoms vykdyti. Kenkėjiška programa taip pat turi tam tikrą užtemimo lygį, įskaitant C2 serverio naudojimą .onion domenu.

„FortiGuard“ mano, kad su kenkėjiška programa vis dar aktyviai dirbama ir ją tobulina galbūt daugiau nei viena grėsmės veikėjų grupė dėl pakeitimų, aptiktų skirtingose .pwned failo pranešimo versijose.