Cercetătorii aleg rețeaua botnet hibridă Enemybot expunând pericole reale

O echipă de cercetători de la firma de securitate FortiGuard a publicat o postare recentă pe blog, care detaliază un nou malware pentru botnet. Rețeaua botnet se concentrează în primul rând pe furnizarea de atacuri distribuite de denial of service și poartă numele de Enemybot .

Enemybot este un amestec de Mirai și Gafgyt

Potrivit FortiGuard, Enemybot este un fel de mutant, împrumutând cod și module atât de la infama rețea de bot Mirai , cât și de la rețeaua botne Bashlite sau Gafgyt , cu mai multe împrumutate de la acesta din urmă. Faptul că ambele familii de botnet-uri au codul sursă disponibil online, face mai ușor pentru noii actori amenințări să preia torța, să amestece și să potrivească și să producă propria lor versiune, la fel ca Enemybot.

Noul malware Enemybot este asociat cu actorul amenințării Keksec - o entitate cunoscută în principal pentru că a reușit atacurile anterioare de refuzare a serviciului distribuit (DDoS) . Noul malware a fost depistat de FortiGuard în atacuri care vizează hardware-ul routerului de către producătorul coreean Seowon Intech, precum și cele mai populare routere D-Link. Dispozitivele Android prost configurate sunt, de asemenea, susceptibile de a fi atacate de malware.

Pericolele reale ale lui Enemybot au fost expuse. Pentru a compromite dispozitivele vizate, Enemybot recurge la o gamă largă de exploit-uri și vulnerabilități cunoscute, inclusiv cea mai tare din ultimul an - Log4j.

Enemybot vizează o gamă largă de dispozitive

Malware-ul implementează un fișier în directorul /tmp, cu extensia .pwned. Fișierul .pwned conține un mesaj text simplu, batjocorind victima și comunicând cine sunt autorii, în acest caz - Keksec.

Rețeaua botnet Enemybot vizează aproape orice arhitectură de cip la care vă puteți gândi, de la diferite versiuni de arm, la x64 și x86 standard, la bsd și spc.

Odată implementat, încărcarea utilă a rețelei botne descarcă binare de pe serverul C2, iar binarele sunt folosite pentru a rula comenzi DDoS. Malware-ul are, de asemenea, un nivel de ofuscare, inclusiv faptul că serverul său C2 utilizează un domeniu .onion.

FortiGuard consideră că malware-ul este încă în lucru activ și îmbunătățit, posibil de mai mult de un grup de amenințări, din cauza modificărilor detectate în diferite versiuni ale mesajului fișierului .pwned.