Computer Security Forskere velger Enemybot Hybrid Botnett som avslører...

Forskere velger Enemybot Hybrid Botnett som avslører reelle farer

Et team av forskere med sikkerhetsfirmaet FortiGuard publiserte et nylig blogginnlegg som beskriver en ny skadelig programvare for botnett. Botnettet er primært fokusert på å levere distribuerte tjenestenektangrep og heter Enemybot .

Enemybot er en blanding av Mirai og Gafgyt

I følge FortiGuard er Enemybot noe av en mutant, som låner kode og moduler fra både det beryktede Mirai -botnettet og Bashlite- eller Gafgyt-botnettet , med mer lånt fra sistnevnte. Det faktum at begge disse botnett-familiene har kildekoden sin tilgjengelig på nettet, gjør det enkelt for nye trusselaktører å plukke opp fakkelen, mikse og matche og produsere sin egen versjon, omtrent som Enemybot.

Den nye Enemybot-malwaren er assosiert med Keksec-trusselaktøren - en enhet som hovedsakelig er kjent for å utføre tidligere DDoS-angrep (Distributed Denial of Service) . Den nye skadevare har blitt oppdaget av FortiGuard i angrep rettet mot rutermaskinvare fra den koreanske produsenten Seowon Intech, så vel som de mer populære D-Link-ruterne. Dårlig konfigurerte Android-enheter er også utsatt for angrep fra skadelig programvare.

De virkelige farene ved Enemybot har blitt avslørt. For å kompromittere målrettede enheter tyr Enemybot til et bredt spekter av kjente utnyttelser og sårbarheter, inkludert den hotteste fra det siste året - Log4j.

Enemybot retter seg mot et bredt spekter av enheter

Skadevaren distribuerer en fil i /tmp-katalogen, med filtypen .pwned. .pwned-filen inneholder en enkel tekstmelding som håner offeret og kommuniserer hvem forfatterne er, i dette tilfellet - Keksec.

Enemybot-botnettet retter seg mot nesten alle brikkearkitekturer du kan tenke deg, fra ulike versjoner av arm, til standard x64 og x86, til bsd og spc.

Når den er distribuert, laster botnettets nyttelast ned binærfiler fra C2-serveren, og binærfilene brukes til å kjøre DDoS-kommandoer. Skadevaren har også et tilsløringsnivå, inkludert at C2-serveren bruker et .onion-domene.

FortiGuard mener at skadevaren fortsatt arbeides aktivt med og forbedres, muligens av mer enn én trusselaktørgruppe, på grunn av endringer oppdaget i forskjellige versjoner av .pwned-filmeldingen.

Laster inn...