EnemyBot

EnemyBot je nevaren botnet, ki ga kibernetski kriminalci uporabljajo predvsem za zagon napadov DDoS (Distributed Denial-of-Service). Botnet so prvič razkrili v varnostnem poročilu raziskovalci pri Securinoxu. Vendar je Fortinet le mesec dni pozneje opazil nove vzorce EnemyBot z razširjenimi zmožnostmi vdora, ki so vključevale pomanjkljivosti za več kot ducat različnih arhitektur.

Razvijalci zlonamerne programske opreme se od takrat niso upočasnili, poročilo AT&T Alien Labs pa kaže, da lahko različice EnemyBot zdaj izkoriščajo 24 dodatnih ranljivosti. Na novo vključene varnostne pomanjkljivosti lahko vplivajo na spletne strežnike, naprave IoT (Internet of Things), naprave Android in sisteme za upravljanje vsebine.

Med dodanimi ranljivostmi so:

• CVE-2022-22954 - napaka pri oddaljenem izvajanju kode, ki jo najdemo v VMware Identity Manager in VMWare Workspace ONE Access.
• CVE-2022-22947 - napaka pri izvajanju kode na daljavo Spring, ki je bila obravnavana kot ničelni dan že marca.
• CVE-2022-1388 - oddaljeno izvajanje kode v F5 BIG-IP, ki lahko omogoči prevzem naprave.

Večina novih podvigov EnemyBot je razvrščena kot kritična, medtem ko jim nekaterim ni bila dodeljena niti številka CVE. To je poleg že vključenih zmogljivosti, kot je izkoriščanje zloglasnega izkoriščanja Log4Shell.

EnemyBot je zdaj sposoben ustvariti tudi obratno lupino na vlomljenih sistemih. Če bo uspešen, bi lahko akterji grožnje zdaj zaobšli določene omejitve požarnega zidu in vzpostavili dostop do ciljnih strojev. EnemyBot ima tudi namenske module, ki lahko iščejo nove primerne naprave in jih poskušajo okužiti.