EnemyBot

EnemyBot to groźny botnet, którego cyberprzestępcy wykorzystują głównie do przeprowadzania ataków DDoS (Distributed Denial-of-Service). Botnet został po raz pierwszy ujawniony w raporcie bezpieczeństwa opracowanym przez badaczy z Securinox. Jednak już miesiąc później Fortinet zaobserwował nowe próbki EnemyBot z rozszerzonymi możliwościami włamań, które zawierały wady kilkunastu różnych architektur.

Twórcy szkodliwego oprogramowania od tego czasu nie zwolnili tempa, a raport AT&T Alien Labs pokazuje, że warianty EnemyBot mogą teraz wykorzystywać 24 dodatkowe luki w zabezpieczeniach. Nowo wprowadzone luki w zabezpieczeniach mogą wpływać na serwery internetowe, urządzenia IoT (Internet of Things), urządzenia z systemem Android i systemy zarządzania treścią.

Wśród dodanych luk są:

• CVE-2022-22954 — błąd zdalnego wykonania kodu znaleziony w VMware Identity Manager i VMWare Workspace ONE Access.
• CVE-2022-22947 — błąd wiosennego wykonania zdalnego kodu, który w marcu został naprawiony jako zero-day.
• CVE-2022-1388 - zdalne wykonanie kodu w F5 BIG-IP umożliwiające przejęcie urządzenia.

Większość nowych exploitów EnemyBot jest sklasyfikowana jako krytyczne, podczas gdy niektóre nie mają nawet przypisanego numeru CVE. Jest to uzupełnienie wcześniej uwzględnionych możliwości, takich jak wykorzystanie niesławnego exploita Log4Shell.

EnemyBot może teraz również tworzyć odwrotną powłokę na naruszonych systemach. Jeśli się powiedzie, cyberprzestępcy mogą teraz ominąć pewne ograniczenia zapory i uzyskać dostęp do zaatakowanych maszyn. EnemyBot posiada również dedykowane moduły, które mogą skanować w poszukiwaniu nowych odpowiednich urządzeń i próbować je zainfekować.