Computer Security Forskare väljer Enemybot Hybrid Botnet som exponerar...

Forskare väljer Enemybot Hybrid Botnet som exponerar verkliga faror

Ett team av forskare med säkerhetsföretaget FortiGuard publicerade nyligen ett blogginlägg som beskriver en ny skadlig programvara för botnät. Botnätet är främst inriktat på att leverera distribuerade överbelastningsattacker och heter Enemybot.

Enemybot är en blandning av Mirai och Gafgyt

Enligt FortiGuard är Enemybot något av en mutant, lånande kod och moduler från både det ökända Mirai-botnätet och Bashlite- eller Gafgyt-botnätet, med mer lånat från det senare. Det faktum att båda dessa botnätfamiljer har sin källkod tillgänglig online gör det enkelt för nya hotaktörer att plocka upp facklan, mixa och matcha och producera sin egen version, ungefär som Enemybot.

Den nya Enemybot skadliga programvaran är associerad med Keksec-hotaktören - en enhet som främst är känd för att ha genomfört tidigare DDoS-attacker (distributed denial of service). Den nya skadliga programvaran har upptäckts av FortiGuard i attacker mot routerhårdvara av den koreanska tillverkaren Seowon Intech, såväl som de mer populära D-Link-routrarna. Dåligt konfigurerade Android-enheter är också känsliga för attacker av skadlig programvara.

De verkliga farorna med Enemybot har avslöjats. För att äventyra riktade enheter tar Enemybot till ett brett utbud av kända exploateringar och sårbarheter, inklusive den hetaste från det senaste året - Log4j.

Enemybot riktar sig till ett brett utbud av enheter

Skadlig programvara distribuerar en fil i katalogen /tmp, med tillägget .pwned. .pwned-filen innehåller ett enkelt textmeddelande som hånar offret och kommunicerar vem författarna är, i det här fallet - Keksec.

Enemybots botnät riktar sig mot nästan alla chiparkitekturer du kan tänka dig, från olika versioner av arm, till standard x64 och x86, till bsd och spc.

När det väl har distribuerats laddar botnätets nyttolast ner binärfiler från C2-servern, och binärfilerna används för att köra DDoS-kommandon. Skadlig programvara har också en nivå av obfuskation, inklusive att dess C2-server använder en .onion-domän.

FortiGuard tror att skadlig programvara fortfarande aktivt bearbetas och förbättras, möjligen av mer än en hotaktörsgrupp, på grund av förändringar som upptäckts i olika versioner av .pwned-filmeddelandet.

Läser in...