EnemyBot

EnemyBot, siber suçluların öncelikle DDoS (Dağıtılmış Hizmet Reddi) saldırılarını başlatmak için kullandığı tehditkar bir botnettir. Botnet ilk olarak Securinox'taki araştırmacılar tarafından bir güvenlik raporunda gün ışığına çıkarıldı. Ancak, sadece bir ay sonra Fortinet, bir düzineden fazla farklı mimari için kusurları kapsayan genişletilmiş izinsiz giriş yeteneklerine sahip yeni EnemyBot örneklerini gözlemledi.

Kötü amaçlı yazılımın geliştiricileri o zamandan beri yavaşlamadı ve AT&T Alien Labs tarafından hazırlanan bir rapor, EnemyBot varyantlarının artık 24 ek güvenlik açığından yararlanabileceğini gösteriyor. Yeni eklenen güvenlik açıkları web sunucularını, IoT (Nesnelerin İnterneti) cihazlarını, Android cihazlarını ve içerik yönetim sistemlerini etkileyebilir.

Eklenen güvenlik açıkları arasında şunlar yer alır:

• CVE-2022-22954 - VMware Identity Manager ve VMWare Workspace ONE Access'te bulunan bir uzaktan kod yürütme hatası.
• CVE-2022-22947 - Mart ayında sıfır gün olarak ele alınan bir Bahar uzaktan kod yürütme hatası.
• CVE-2022-1388 - F5 BIG-IP'de cihazın devralınmasına izin verebilen bir uzaktan kod yürütme.

EnemyBot'un yeni istismarlarının çoğu kritik olarak sınıflandırılırken, bazılarının kendilerine atanmış bir CVE numarası bile yoktu. Bu, kötü şöhretli Log4Shell istismarından yararlanmak gibi daha önce dahil edilen yeteneklerin üzerindedir.

EnemyBot artık ihlal edilen sistemlerde ters bir kabuk oluşturma yeteneğine de sahip. Başarılı olursa, tehdit aktörleri artık belirli güvenlik duvarı kısıtlamalarını atlayabilir ve hedeflenen makinelere erişim sağlayabilir. EnemyBot ayrıca yeni uygun cihazları tarayabilen ve onlara bulaşmaya çalışabilen özel modüllere sahiptir.