Pētnieki izvēlas Apart Enemybot hibrīda robottīklu, kas pakļauj reālas briesmas

Pētnieku komanda ar drošības firmu FortiGuard publicēja nesenu emuāra ziņu, kurā sīki aprakstīta jauna robottīkla ļaunprātīga programmatūra. Robottīkls galvenokārt ir vērsts uz izplatītu pakalpojumu atteikuma uzbrukumu nodrošināšanu, un tā nosaukums ir Enemybot .

Enemybot ir Mirai un Gafgyt sajaukums

Saskaņā ar FortiGuard teikto, Enemybot ir kaut kas līdzīgs mutants, aizņemoties kodu un moduļus gan no bēdīgi slavenā Mirai robottīkla , gan Bashlite vai Gafgyt robottīkla , turklāt vairāk ir aizgūts no pēdējā. Fakts, ka abām robottīklu saimēm ir pieejams avota kods tiešsaistē, ļauj jauniem draudu dalībniekiem viegli uzņemt lāpu, sajaukt un saskaņot un izveidot savu versiju, līdzīgi kā Enemybot.

Jaunā ļaunprogrammatūra Enemybot ir saistīta ar Keksec draudu dalībnieku — vienību, kas galvenokārt pazīstama ar iepriekšējo izplatīto pakalpojumu atteikuma (DDoS) uzbrukumu novēršanu . Jauno ļaunprogrammatūru FortiGuard ir pamanījis uzbrukumos, kas vērsti pret Korejas ražotāja Seowon Intech maršrutētāju aparatūru, kā arī populārākajiem D-Link maršrutētājiem. Arī slikti konfigurētas Android ierīces ir pakļautas ļaunprātīgas programmatūras uzbrukumiem.

Ir atklātas patiesās Enemybot briesmas. Lai apdraudētu mērķētas ierīces, Enemybot izmanto plašu zināmo ekspluatāciju un ievainojamību klāstu, tostarp karstāko no pagājušā gada — Log4j.

Enemybot ir paredzēts plašam ierīču klāstam

Ļaunprātīga programmatūra izvieto failu /tmp direktorijā ar paplašinājumu .pwned. .pwned failā ir vienkārša īsziņa, kas ņirgājas par upuri un paziņo, kas ir autori, šajā gadījumā - Keksec.

Enemybot robottīkls ir paredzēts gandrīz jebkurai mikroshēmu arhitektūrai, ko varat iedomāties, sākot no dažādām arm versijām, standarta x64 un x86, līdz bsd un spc.

Pēc izvietošanas robottīkla lietderīgā slodze lejupielādē bināros failus no C2 servera, un binārie faili tiek izmantoti DDoS komandu palaišanai. Ļaunprātīgajai programmatūrai ir arī neskaidrības līmenis, tostarp tās C2 serveris, kas izmanto .onion domēnu.

FortiGuard uzskata, ka pie ļaunprogrammatūras joprojām aktīvi strādā un to uzlabo, iespējams, vairāk nekā viena apdraudējuma dalībnieku grupa, jo dažādās .pwned faila ziņojuma versijās konstatētas izmaiņas.