Computer Security Raziskovalci ločijo hibridni botnet Enemybot, ki...

Raziskovalci ločijo hibridni botnet Enemybot, ki izpostavlja resnične nevarnosti

Skupina raziskovalcev varnostnega podjetja FortiGuard je objavila nedavno objavo na spletnem dnevniku, v kateri je podrobno opisana nova zlonamerna programska oprema za botnet. Botnet je osredotočen predvsem na zagotavljanje porazdeljenih napadov za zavrnitev storitve in se imenuje Enemybot .

Enemybot je mešanica Mirai in Gafgyt

Po FortiGuardu je Enemybot nekaj mutanta, ki si je izposodil kodo in module tako iz zloglasnega botneta Mirai kot botneta Bashlite ali Gafgyt , pri čemer je več izposojenega od slednjega. Dejstvo, da imata obe družini botnetov izvorno kodo, ki je na voljo na spletu, novim akterjem groženj olajša, da poberejo svetilko, mešajo in ujemajo ter izdelajo svojo različico, podobno kot Enemybot.

Nova zlonamerna programska oprema Enemybot je povezana z akterjem grožnje Keksec – entiteto, ki je znana predvsem po izvajanju prejšnjih porazdeljenih napadov za zavrnitev storitve (DDoS) . FortiGuard je novo zlonamerno programsko opremo opazil pri napadih, ki so ciljali na strojno opremo usmerjevalnika korejskega proizvajalca Seowon Intech, pa tudi na bolj priljubljene usmerjevalnike D-Link. Slabo konfigurirane naprave Android so prav tako dovzetne za napade zlonamerne programske opreme.

Resnične nevarnosti Enemybota so izpostavljene. Za ogrožanje ciljnih naprav se Enemybot zateče k širokemu naboru znanih podvigov in ranljivosti, vključno z najbolj vročo iz preteklega leta - Log4j.

Enemybot cilja na široko paleto naprav

Zlonamerna programska oprema razmesti datoteko v imeniku /tmp s pripono .pwned. Datoteka .pwned vsebuje preprosto besedilno sporočilo, ki zmerja žrtev in sporoča, kdo so avtorji, v tem primeru - Keksec.

Botnet Enemybot cilja na skoraj vsako arhitekturo čipov, ki si jo lahko zamislite, od različnih različic arm, do standardnih x64 in x86, do bsd in spc.

Ko se namesti, koristna obremenitev botneta naloži binarne datoteke s strežnika C2, binarne datoteke pa se uporabljajo za izvajanje ukazov DDoS. Zlonamerna programska oprema ima tudi stopnjo prikrivanja, vključno s tem, da strežnik C2 uporablja domeno .onion.

FortiGuard meni, da se zlonamerna programska oprema še vedno aktivno razvija in izboljšuje, po možnosti več kot ena skupina akterjev grožnje, zaradi sprememb, odkritih v različnih različicah sporočila datoteke .pwned.

Nalaganje...