EnemyBot

EnemyBot เป็นบ็อตเน็ตที่คุกคามซึ่งอาชญากรไซเบอร์ใช้สำหรับการโจมตี DDoS (Distributed Denial-of-Service) เป็นหลัก บ็อตเน็ตถูกเปิดเผยครั้งแรกในรายงานความปลอดภัยโดยนักวิจัยที่ Securinox อย่างไรก็ตาม เพียงหนึ่งเดือนต่อมา Fortinet ได้สังเกตเห็นตัวอย่าง EnemyBot ใหม่ที่มีความสามารถในการบุกรุกที่เพิ่มขึ้น ซึ่งครอบคลุมข้อบกพร่องสำหรับสถาปัตยกรรมที่แตกต่างกันมากกว่าหนึ่งโหล

นักพัฒนามัลแวร์ไม่ได้ชะลอตัวลงตั้งแต่นั้นมา และรายงานจาก AT&T Alien Labs แสดงให้เห็นว่า EnemyBot ตัวแปรต่างๆ สามารถใช้ประโยชน์จากช่องโหว่เพิ่มเติม 24 จุดได้แล้ว ข้อบกพร่องด้านความปลอดภัยที่เพิ่งรวมเข้าใหม่นี้อาจส่งผลต่อเว็บเซิร์ฟเวอร์ อุปกรณ์ IoT (Internet of Things) อุปกรณ์ Android และระบบจัดการเนื้อหา

ท่ามกลางช่องโหว่เพิ่มเติม ได้แก่ :

• CVE-2022-22954 - ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลที่พบใน VMware Identity Manager และ VMWare Workspace ONE Access
• CVE-2022-22947 - ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลของ Spring ซึ่งได้รับการแก้ไขเมื่อเดือนมีนาคมที่ผ่านมา
• CVE-2022-1388 - การเรียกใช้โค้ดจากระยะไกลใน F5 BIG-IP ที่สามารถอนุญาตให้เทคโอเวอร์อุปกรณ์ได้

การหาช่องโหว่ใหม่ของ EnemyBot ส่วนใหญ่จัดอยู่ในประเภทวิกฤต ในขณะที่บางช่องโหว่ไม่มีการกำหนดหมายเลข CVE ให้กับพวกเขา สิ่งนี้อยู่เหนือความสามารถที่รวมไว้ก่อนหน้านี้ เช่น การใช้ประโยชน์จากช่องโหว่ของ Log4Shell ที่น่าอับอาย

ตอนนี้ EnemyBot สามารถสร้างเปลือกย้อนกลับบนระบบที่ถูกละเมิดได้ หากประสบความสำเร็จ ผู้คุกคามสามารถข้ามข้อจำกัดของไฟร์วอลล์และสร้างการเข้าถึงเครื่องเป้าหมายได้ EnemyBot ยังมีโมดูลเฉพาะที่สามารถสแกนหาอุปกรณ์ที่เหมาะสมใหม่และพยายามแพร่เชื้อ