Onderzoekers kiezen Enemybot hybride botnet die echte gevaren blootlegt
Een team van onderzoekers van beveiligingsbedrijf FortiGuard heeft een recente blogpost gepubliceerd, waarin een nieuwe botnet-malware wordt beschreven. Het botnet is voornamelijk gericht op het leveren van gedistribueerde denial-of-service-aanvallen en heet Enemybot.
Enemybot is een mix van Mirai en Gafgyt
Volgens FortiGuard is Enemybot een soort mutant, die code en modules leent van zowel het beruchte Mirai-botnet als het Bashlite- of Gafgyt-botnet, en meer van het laatste. Het feit dat beide botnetfamilies hun broncode online beschikbaar hebben, maakt het gemakkelijk voor nieuwe dreigingsactoren om de fakkel op te pakken, te mixen en matchen en hun eigen versie te produceren, net als Enemybot.
De nieuwe Enemybot-malware wordt geassocieerd met de Keksec-bedreigingsactor - een entiteit die vooral bekend staat om het uitvoeren van eerdere DDoS-aanvallen (Distributed Denial of Service). De nieuwe malware is door FortiGuard opgemerkt bij aanvallen op routerhardware door de Koreaanse fabrikant Seowon Intech, evenals op de meer populaire D-Link-routers. Slecht geconfigureerde Android-apparaten zijn ook vatbaar voor aanvallen door de malware.
De echte gevaren van Enemybot zijn blootgelegd. Om gerichte apparaten in gevaar te brengen, neemt Enemybot zijn toevlucht tot een breed scala aan bekende exploits en kwetsbaarheden, waaronder de populairste van het afgelopen jaar - Log4j.
Enemybot richt zich op een breed scala aan apparaten
De malware implementeert een bestand in de /tmp-directory, met de extensie .pwned. Het .pwned-bestand bevat een eenvoudig sms-bericht, waarin het slachtoffer wordt bespot en wordt meegedeeld wie de auteurs zijn, in dit geval Keksec.
Het Enemybot-botnet richt zich op bijna elke chiparchitectuur die je maar kunt bedenken, van verschillende versies van arm, tot standaard x64 en x86, tot bsd en spc.
Eenmaal geïmplementeerd, downloadt de payload van het botnet binaire bestanden van de C2-server, en de binaire bestanden worden gebruikt om DDoS-opdrachten uit te voeren. De malware heeft ook een mate van verduistering, waaronder het feit dat de C2-server een .onion-domein gebruikt.
FortiGuard is van mening dat er nog steeds actief aan de malware wordt gewerkt en deze wordt verbeterd, mogelijk door meer dan één groep bedreigingsactoren, vanwege wijzigingen die zijn gedetecteerd in verschillende versies van het .pwned-bestandsbericht.