EnemyBot

Ang EnemyBot ay isang nagbabantang botnet na pangunahing ginagamit ng mga cybercriminal para sa paglulunsad ng mga pag-atake ng DDoS (Distributed Denial-of-Service). Ang botnet ay unang inilabas sa isang ulat ng seguridad ng mga mananaliksik sa Securinox. Gayunpaman, makalipas lamang ang isang buwan, naobserbahan ng Fortinet ang mga bagong sample ng EnemyBot na may pinalawak na mga kakayahan sa panghihimasok na sumasaklaw sa mga bahid para sa higit sa isang dosenang iba't ibang mga arkitektura.

Ang mga developer ng malware ay hindi na bumagal mula noon, at ang isang ulat mula sa AT&T Alien Labs ay nagpapakita na ang mga variant ng EnemyBot ay maaari na ngayong pagsamantalahan ang 24 na karagdagang mga kahinaan. Maaaring makaapekto sa mga web server, IoT (Internet of Things) device, Android device, at content management system ang mga bagong incorporated na mga bahid sa seguridad.

Kabilang sa mga karagdagang kahinaan ay:

• CVE-2022-22954 - isang remote code execution flaw na makikita sa VMware Identity Manager at VMWare Workspace ONE Access.
• CVE-2022-22947 - isang Spring remote code execution flaw na tinugunan bilang zero-day noong Marso.
• CVE-2022-1388 - isang remote code execution sa F5 BIG-IP na maaaring payagan ang pagkuha ng device.

Karamihan sa mga bagong pagsasamantala ng EnemyBot ay inuri bilang kritikal habang ang ilan ay walang kahit isang CVE na numero na nakatalaga sa kanila. Ito ay higit pa sa mga dating kasamang kakayahan, gaya ng pagsasamantala sa kasumpa-sumpa na pagsasamantala ng Log4Shell.

Ang EnemyBot ay may kakayahang gumawa ng reverse shell sa mga nalabag na system. Kung matagumpay, ang mga banta ng aktor ay maaari na ngayong laktawan ang ilang mga paghihigpit sa firewall at magtatag ng access sa mga naka-target na makina. Ang EnemyBot ay nagtataglay din ng mga nakalaang module na maaaring mag-scan para sa mga bagong angkop na device at subukang mahawahan ang mga ito.