EnemyBot

EnemyBot är ett hotfullt botnät som cyberkriminella främst använder för att starta DDoS-attacker (Distributed Denial-of-Service). Botnätet lyftes först fram i en säkerhetsrapport av forskarna vid Securinox. Men bara en månad senare observerade Fortinet nya EnemyBot-prover med utökade intrångsmöjligheter som omfattade brister för över ett dussin olika arkitekturer.

Utvecklarna av skadlig programvara har inte saktat ner sedan dess, och en rapport från AT&T Alien Labs visar att EnemyBot-varianter nu kan utnyttja 24 ytterligare sårbarheter. De nyligen införlivade säkerhetsbristerna kan påverka webbservrar, IoT-enheter (Internet of Things), Android-enheter och innehållshanteringssystem.

Bland de ytterligare sårbarheterna är:

• CVE-2022-22954 - ett fel vid exekvering av fjärrkod som finns i VMware Identity Manager och VMWare Workspace ONE Access.
• CVE-2022-22947 - ett fjäderfel vid exekvering av vårens kod som åtgärdades som en nolldag redan i mars.
• CVE-2022-1388 - en fjärrkodexekvering i F5 BIG-IP som kan tillåta enhetsövertagande.

De flesta av EnemyBots nya bedrifter klassificeras som kritiska medan vissa inte ens hade ett CVE-nummer tilldelat. Detta är utöver de tidigare inkluderade funktionerna, som att dra nytta av den ökända Log4Shell-exploateringen.

EnemyBot kan nu också skapa ett omvänt skal på de brutna systemen. Om det lyckas kan hotaktörerna nu kunna kringgå vissa brandväggsbegränsningar och etablera åtkomst till de riktade datorerna. EnemyBot har också dedikerade moduler som kan söka efter nya lämpliga enheter och försöka infektera dem.