Computer Security นักวิจัยเลือก Enemybot Hybrid Botnet...

นักวิจัยเลือก Enemybot Hybrid Botnet ที่เปิดเผยอันตรายที่แท้จริง

ทีมนักวิจัยจากบริษัทรักษาความปลอดภัย FortiGuard ได้เผยแพร่บล็อกโพสต์ล่าสุด โดยมีรายละเอียดเกี่ยวกับมัลแวร์บ็อตเน็ตตัวใหม่ บ็อตเน็ตมุ่งเน้นที่การนำเสนอการโจมตีแบบปฏิเสธบริการแบบกระจาย และมีชื่อว่า Enemybot

Enemybot เป็นลูกผสมของ Mirai และ Gafgyt

ตาม FortiGuard Enemybot เป็นสิ่งที่กลายพันธุ์โดยยืมโค้ดและโมดูลจาก Mirai botnet ที่น่าอับอายและ Bashlite หรือ Gafgyt botnet โดยยืมมาจากหลังมากขึ้น ความจริงที่ว่าทั้งสองตระกูลบ็อตเน็ตเหล่านั้นมีซอร์สโค้ดที่พร้อมใช้งานออนไลน์ ทำให้ผู้คุกคามรายใหม่สามารถหยิบคบเพลิง ผสมและจับคู่และสร้างเวอร์ชันของตนเองได้ง่าย เช่นเดียวกับ Enemybot

มัลแวร์ Enemybot ใหม่เชื่อมโยงกับตัวแสดงภัยคุกคาม Keksec ซึ่งเป็นเอนทิตีที่รู้จักกันเป็นหลักใน การดึงการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายก่อนหน้านี้ FortiGuard ตรวจพบมัลแวร์ตัวใหม่ในการโจมตีที่กำหนดเป้าหมายฮาร์ดแวร์เราเตอร์โดยผู้ผลิตเกาหลี Seowon Intech รวมถึงเราเตอร์ D-Link ที่ได้รับความนิยมมากขึ้น อุปกรณ์ Android ที่กำหนดค่าไม่ดีก็เสี่ยงที่จะถูกโจมตีโดยมัลแวร์เช่นกัน

อันตรายที่แท้จริงของ Enemybot ได้ถูกเปิดเผยแล้ว เพื่อประนีประนอมกับอุปกรณ์เป้าหมาย Enemybot หันไปหาช่องโหว่และช่องโหว่ที่เป็นที่รู้จักมากมาย รวมถึง Log4j.

Enemybot ตั้งเป้าไปที่อุปกรณ์ที่หลากหลาย

มัลแวร์ปรับใช้ไฟล์ในไดเร็กทอรี /tmp โดยมีนามสกุล .pwned ไฟล์ .pwned มีข้อความธรรมดาเยาะเย้ยเหยื่อและสื่อสารว่าใครคือผู้เขียน ในกรณีนี้ - Keksec

บ็อตเน็ต Enemybot กำหนดเป้าหมายสถาปัตยกรรมชิปเกือบทุกแบบที่คุณคิดได้ ตั้งแต่รุ่นของรุ่นต่างๆ ไปจนถึง x64 และ x86 มาตรฐาน ไปจนถึง bsd และ spc

เมื่อปรับใช้แล้ว Payload ของบ็อตเน็ตจะดาวน์โหลดไบนารีจากเซิร์ฟเวอร์ C2 และไบนารีจะถูกใช้เพื่อรันคำสั่ง DDoS มัลแวร์ยังมีระดับความสับสน รวมถึงการมีเซิร์ฟเวอร์ C2 โดยใช้โดเมน .onion

FortiGuard เชื่อว่ามัลแวร์ยังคงทำงานและปรับปรุงอย่างต่อเนื่อง อาจเป็นเพราะกลุ่มผู้โจมตีมากกว่าหนึ่งกลุ่ม เนื่องจากการเปลี่ยนแปลงที่ตรวจพบในเวอร์ชันต่างๆ ของข้อความไฟล์ .pwned

กำลังโหลด...