Araştırmacılar, Gerçek Tehlikeleri Ortaya Çıkaran Enemybot Hybrid Botnet'i Ayırıyor

Güvenlik firması FortiGuard ile bir araştırma ekibi, yeni bir botnet kötü amaçlı yazılımını detaylandıran yakın zamanda bir blog yazısı yayınladı. Botnet, öncelikle dağıtılmış hizmet reddi saldırıları sunmaya odaklanır ve Enemybot olarak adlandırılır.

Enemybot, Mirai ve Gafgyt'in bir karışımıdır.

FortiGuard'a göre Enemybot, hem kötü şöhretli Mirai botnet'ten hem de Bashlite veya Gafgyt botnet'ten ödünç kod ve modüller alan ve ikincisinden daha fazla ödünç alan bir mutanttır. Bu botnet ailelerinin her ikisinin de kaynak kodunun çevrimiçi olarak erişilebilir olması, yeni tehdit aktörlerinin meşaleyi almasını, karıştırmasını ve eşleştirmesini ve Enemybot gibi kendi sürümlerini oluşturmasını kolaylaştırıyor.

Yeni Enemybot kötü amaçlı yazılımı, esas olarak önceki dağıtılmış hizmet reddi (DDoS) saldırılarını gerçekleştirmesiyle bilinen bir varlık olan Keksec tehdit aktörü ile ilişkilidir. Yeni kötü amaçlı yazılım, FortiGuard tarafından Koreli üretici Seowon Intech'in yönlendirici donanımını ve daha popüler D-Link yönlendiricilerini hedef alan saldırılarda tespit edildi. Kötü yapılandırılmış Android cihazlar da kötü amaçlı yazılım tarafından saldırıya açıktır.

Enemybot'un gerçek tehlikeleri ortaya çıktı. Enemybot, hedeflenen cihazları tehlikeye atmak için, geçtiğimiz yılın en sıcak olanı olan Log4j dahil olmak üzere çok çeşitli bilinen açıklardan yararlanmalara ve güvenlik açıklarına başvurur.

Enemybot çok çeşitli cihazları hedefler

Kötü amaçlı yazılım, /tmp dizininde .pwned uzantılı bir dosya dağıtır. .pwned dosyası, kurbanla alay eden ve bu durumda yazarların kim olduğunu bildiren basit bir metin mesajı içerir - bu durumda - Keksec.

Enemybot botnet, çeşitli arm sürümlerinden standart x64 ve x86'ya, bsd ve spc'ye kadar aklınıza gelebilecek hemen hemen her çip mimarisini hedefler.

Dağıtıldıktan sonra, botnet'in yükü C2 sunucusundan ikili dosyaları indirir ve ikili dosyalar DDoS komutlarını çalıştırmak için kullanılır. Kötü amaçlı yazılım ayrıca, C2 sunucusunun bir .onion etki alanı kullanması da dahil olmak üzere, bir düzeyde şaşırtmacaya sahiptir.

FortiGuard, .pwned dosya mesajının farklı sürümlerinde tespit edilen değişiklikler nedeniyle, kötü amaçlı yazılım üzerinde muhtemelen birden fazla tehdit aktörü grubu tarafından hala aktif olarak çalışıldığına ve geliştirildiğine inanıyor.