Studiuesit zgjedhin Botnet Hibrid Enemybot që ekspozon rreziqe reale
Një ekip studiuesish me firmën e sigurisë FortiGuard publikoi një postim të fundit në blog, duke detajuar një malware të ri botnet. Botnet-i është i fokusuar kryesisht në ofrimin e sulmeve të shpërndara të mohimit të shërbimit dhe quhet Enemybot .
Enemybot është një përzierje e Mirai dhe Gafgyt
Sipas FortiGuard, Enemybot është diçka si një mutant, kod huamarrës dhe module si nga botnet-i famëkeq Mirai ashtu edhe nga botnet -i Bashlite ose Gafgyt , me më shumë të huazuara nga ky i fundit. Fakti që të dyja këto familje botnet kanë kodin e tyre burimor të disponueshëm në internet e bën të lehtë për aktorët e rinj të kërcënimit që të marrin pishtarin, të përziejnë dhe të përputhen dhe të prodhojnë versionin e tyre, njësoj si Enemybot.
Malware i ri Enemybot është i lidhur me aktorin e kërcënimit Keksec - një ent i njohur kryesisht për tërheqjen e sulmeve të mëparshme të mohimit të shërbimit të shpërndarë (DDoS) . Malware i ri është vërejtur nga FortiGuard në sulmet që synojnë harduerin e ruterit nga prodhuesi korean Seowon Intech, si dhe ruterët më të njohur D-Link. Pajisjet Android të konfiguruara keq janë gjithashtu të ndjeshme ndaj sulmeve nga malware.
Rreziqet reale të Enemybot janë ekspozuar. Për të komprometuar pajisjet e synuara, Enemybot përdor një gamë të gjerë shfrytëzimesh dhe dobësish të njohura, duke përfshirë më të nxehtin e vitit të kaluar - Log4j.
Enemybot synon një gamë të gjerë pajisjesh
Malware vendos një skedar në drejtorinë /tmp, me shtesën .pwned. Skedari .pwned përmban një mesazh të thjeshtë me tekst, duke tallur viktimën dhe duke komunikuar se cilët janë autorët, në këtë rast - Keksec.
Botneti Enemybot synon pothuajse çdo arkitekturë të çipit që mund të mendoni, nga versione të ndryshme të krahut, te x64 dhe x86 standarde, te bsd dhe spc.
Pasi të vendoset, ngarkesa e botnet-it shkarkon binare nga serveri C2 dhe binarët përdoren për të ekzekutuar komandat DDoS. Malware ka gjithashtu një nivel turbullimi, duke përfshirë përdorimin e serverit të tij C2 duke përdorur një domen .onion.
FortiGuard beson se malware është ende duke u punuar dhe përmirësuar në mënyrë aktive, ndoshta nga më shumë se një grup aktorësh kërcënimi, për shkak të ndryshimeve të zbuluara në versione të ndryshme të mesazhit të skedarit .pwned.