Исследователи выбрали гибридный ботнет Enemybot, выявляющий реальную опасность

Группа исследователей из охранной компании FortiGuard опубликовала недавнюю запись в блоге с подробным описанием нового вредоносного ПО для ботнета. Ботнет в первую очередь предназначен для проведения распределенных атак типа «отказ в обслуживании» и называется Enemybot .

Enemybot представляет собой смесь Mirai и Gafgyt.

По данным FortiGuard, Enemybot — это что-то вроде мутанта, заимствующего код и модули как у печально известного ботнета Mirai , так и у ботнета Bashlite или Gafgyt , причем больше заимствовано у последнего. Тот факт, что оба этих семейства ботнетов имеют свой исходный код, доступный в Интернете, позволяет новым злоумышленникам легко взять факел, смешать и сопоставить и создать свою собственную версию, как и Enemybot.

Новое вредоносное ПО Enemybot связано с субъектом угрозы Keksec — организацией, известной в основном тем, что она осуществляла предыдущие распределенные атаки типа «отказ в обслуживании» (DDoS) . Новое вредоносное ПО было обнаружено FortiGuard в атаках на оборудование маршрутизаторов корейского производителя Seowon Intech, а также на более популярные маршрутизаторы D-Link. Плохо настроенные Android-устройства также подвержены атакам вредоносных программ.

Реальные опасности Enemybot были раскрыты. Чтобы скомпрометировать целевые устройства, Enemybot прибегает к широкому спектру известных эксплойтов и уязвимостей, включая самую горячую за последний год — Log4j.

Enemybot нацелен на широкий спектр устройств

Вредоносная программа развертывает файл в каталоге /tmp с расширением .pwned. Файл .pwned содержит простое текстовое сообщение, насмехающееся над жертвой и сообщающее, кто авторы, в данном случае — Keksec.

Ботнет Enemybot нацелен практически на любую архитектуру чипа, о которой вы только можете подумать, от различных версий arm до стандартных x64 и x86, bsd и spc.

После развертывания полезная нагрузка ботнета загружает двоичные файлы с сервера C2, и эти двоичные файлы используются для выполнения DDoS-команд. Вредоносное ПО также имеет уровень обфускации, в том числе наличие своего C2-сервера, использующего домен .onion.

FortiGuard считает, что вредоносное ПО все еще активно разрабатывается и улучшается, возможно, более чем одной группой злоумышленников, из-за изменений, обнаруженных в разных версиях сообщения файла .pwned.