EnemyBot

EnemyBot je hrozivý botnet, ktorý kyberzločinci využívajú predovšetkým na spúšťanie DDoS (Distributed Denial-of-Service) útokov. Botnet bol prvýkrát odhalený v bezpečnostnej správe výskumníkov zo spoločnosti Securinox. Len o mesiac neskôr však Fortinet pozoroval nové vzorky EnemyBot s rozšírenými možnosťami narušenia, ktoré zahŕňali nedostatky pre viac ako tucet rôznych architektúr.

Vývojári malvéru odvtedy nepoľavili a správa od AT&T Alien Labs ukazuje, že varianty EnemyBot teraz dokážu využiť 24 ďalších zraniteľností. Novo začlenené bezpečnostné chyby môžu ovplyvniť webové servery, zariadenia internetu vecí (Internet of Things), zariadenia so systémom Android a systémy na správu obsahu.

Medzi pridané zraniteľnosti patria:

• CVE-2022-22954 – chyba spustenia vzdialeného kódu nájdená vo VMware Identity Manager a VMWare Workspace ONE Access.
• CVE-2022-22947 – jarná chyba spustenia vzdialeného kódu, ktorá bola vyriešená ako nultý deň v marci.
• CVE-2022-1388 - vzdialené spustenie kódu v F5 BIG-IP, ktoré umožňuje prevzatie zariadenia.

Väčšina nových exploitov EnemyBot je klasifikovaná ako kritická, zatiaľ čo niektoré nemajú priradené ani CVE číslo. Toto je nad rámec predtým zahrnutých schopností, ako je napríklad využitie neslávne známeho exploitu Log4Shell.

EnemyBot je teraz tiež schopný vytvoriť reverzný shell na narušených systémoch. Ak budú úspešní, aktéri hrozieb by teraz mohli byť schopní obísť určité obmedzenia brány firewall a vytvoriť prístup k cieľovým počítačom. EnemyBot má tiež vyhradené moduly, ktoré dokážu vyhľadať nové vhodné zariadenia a pokúsiť sa ich infikovať.