Badacze wybierają hybrydowy botnet Enemybot, który ujawnia prawdziwe niebezpieczeństwa
Zespół badaczy z firmą FortiGuard zajmującą się bezpieczeństwem opublikował niedawny wpis na blogu, w którym szczegółowo opisano nowe złośliwe oprogramowanie botnetowe. Botnet koncentruje się głównie na dostarczaniu rozproszonych ataków typu „odmowa usługi” i nosi nazwę Enemybot.
Enemybot to mieszanka Mirai i Gafgyt
Według FortiGuard Enemybot jest czymś w rodzaju mutanta, zapożyczającego kod i moduły zarówno z niesławnego botnetu Mirai, jak i botnetu Bashlite lub Gafgyt, przy czym więcej zapożyczono od tego drugiego. Fakt, że obie te rodziny botnetów mają swój kod źródłowy dostępny online, ułatwia nowym cyberprzestępcom przejęcie pochodni, mieszanie, dopasowywanie i tworzenie własnej wersji, podobnie jak Enemybot.
Nowe złośliwe oprogramowanie Enemybot jest powiązane z cyberprzestępcą Keksec — podmiotem znanym głównie z przeprowadzania wcześniejszych ataków typu rozproszona odmowa usługi (DDoS). Nowe szkodliwe oprogramowanie zostało wykryte przez FortiGuard w atakach na routery koreańskiego producenta Seowon Intech, a także w bardziej popularne routery D-Link. Źle skonfigurowane urządzenia z Androidem są również podatne na ataki szkodliwego oprogramowania.
Prawdziwe niebezpieczeństwa Enemybota zostały ujawnione. Aby skompromitować docelowe urządzenia, Enemybot korzysta z szerokiej gamy znanych exploitów i luk w zabezpieczeniach, w tym najgorętszej z zeszłego roku — Log4j.
Enemybot atakuje szeroką gamę urządzeń
Szkodnik instaluje plik w katalogu /tmp z rozszerzeniem .pwned. Plik .pwned zawiera prostą wiadomość tekstową, drwiącą z ofiary i informującą, kim są autorzy, w tym przypadku - Keksec.
Botnet Enemybot atakuje prawie każdą architekturę chipową, o jakiej można pomyśleć, od różnych wersji arm, przez standardowe x64 i x86, po bsd i spc.
Po wdrożeniu ładunek botnetu pobiera pliki binarne z serwera C2, które są używane do uruchamiania poleceń DDoS. Szkodnik ten ma również pewien poziom zaciemnienia, w tym serwer C2 korzystający z domeny .onion.
FortiGuard uważa, że złośliwe oprogramowanie jest nadal aktywnie opracowywane i ulepszane, prawdopodobnie przez więcej niż jedną grupę podmiotów atakujących, ze względu na zmiany wykryte w różnych wersjach wiadomości pliku .pwned.