EnemyBot

EnemyBot — це загрозливий ботнет, який кіберзлочинці використовують переважно для запуску DDoS-атак (розподілена відмова в обслуговуванні). Вперше про ботнет було виявлено у звіті про безпеку дослідників із Securinox. Однак лише через місяць Fortinet помітив нові зразки EnemyBot з розширеними можливостями вторгнення, які охоплювали недоліки понад десятка різних архітектур.

Відтоді розробники зловмисного програмного забезпечення не сповільнювалися, і звіт AT&T Alien Labs демонструє, що варіанти EnemyBot тепер можуть використовувати 24 додаткові вразливості. Нещодавно включені недоліки безпеки можуть вплинути на веб-сервери, пристрої IoT (Internet of Things), пристрої Android та системи керування вмістом.

Серед доданих уразливостей:

• CVE-2022-22954 - помилка віддаленого виконання коду, виявлена в VMware Identity Manager і VMWare Workspace ONE Access.
• CVE-2022-22947 – помилка віддаленого виконання коду Spring, яка була вирішена як нульовий день ще в березні.
• CVE-2022-1388 - віддалене виконання коду в F5 BIG-IP, яке може дозволити захоплення пристрою.

Більшість нових експлойтів EnemyBot класифікуються як критичні, а деяким навіть не присвоєно номер CVE. Це на додаток до раніше включених можливостей, таких як використання сумнозвісного експлойту Log4Shell.

EnemyBot тепер також може створювати зворотну оболонку на зламаних системах. У разі успіху суб’єкти загроз тепер зможуть обійти певні обмеження брандмауера та встановити доступ до цільових машин. EnemyBot також має спеціальні модулі, які можуть сканувати нові відповідні пристрої та намагатися їх заражати.