EnemyBot

EnemyBot is een bedreigend botnet dat cybercriminelen voornamelijk gebruiken voor het lanceren van DDoS-aanvallen (Distributed Denial-of-Service). Het botnet kwam voor het eerst aan het licht in een beveiligingsrapport van de onderzoekers van Securinox. Slechts een maand later observeerde Fortinet echter nieuwe EnemyBot-samples met uitgebreide inbraakmogelijkheden die fouten bevatten voor meer dan een dozijn verschillende architecturen.

De ontwikkelaars van de malware zijn sindsdien niet vertraagd en een rapport van AT&T Alien Labs laat zien dat EnemyBot-varianten nu 24 extra kwetsbaarheden kunnen misbruiken. De nieuw ingebouwde beveiligingsfouten kunnen van invloed zijn op webservers, IoT-apparaten (Internet of Things), Android-apparaten en contentbeheersystemen.

Onder de toegevoegde kwetsbaarheden zijn:

• CVE-2022-22954 - een fout bij het uitvoeren van externe code gevonden in VMware Identity Manager en VMWare Workspace ONE Access.
• CVE-2022-22947 - een fout in de uitvoering van externe code in de lente die in maart werd aangepakt als een zero-day.
• CVE-2022-1388 - een externe code-uitvoering in F5 BIG-IP die apparaatovername mogelijk maakt.

De meeste nieuwe exploits van EnemyBot zijn geclassificeerd als kritiek, terwijl aan sommige zelfs geen CVE-nummer is toegewezen. Dit komt bovenop de eerder opgenomen mogelijkheden, zoals het profiteren van de beruchte Log4Shell-exploit.

EnemyBot is nu ook in staat om een omgekeerde shell te maken op de gehackte systemen. Als dit lukt, kunnen de bedreigingsactoren nu bepaalde firewallbeperkingen omzeilen en toegang krijgen tot de beoogde machines. EnemyBot beschikt ook over speciale modules die kunnen scannen naar nieuwe geschikte apparaten en deze proberen te infecteren.