Дослідники відокремлюють гібридний ботнет Enemybot, викриваючи реальні небезпеки

Команда дослідників із охоронної фірми FortiGuard опублікувала нещодавню публікацію в блозі, де детально розповідала про нове шкідливе програмне забезпечення ботнету. Ботнет в основному зосереджений на доставці розподілених атак відмови в обслуговуванні і називається Enemybot .

Enemybot - це суміш Мірай і Гафгіта

Згідно з FortiGuard, Enemybot є чимось на кшталт мутанта, який запозичив код і модулі як із сумнозвісного ботнету Mirai , так і з ботнету Bashlite чи Gafgyt , з більшою кількістю запозичених з останнього. Той факт, що обидва ці сімейства ботнетів мають вихідний код, доступний в Інтернеті, дозволяє новим учасникам загроз легко підхопити факел, змішувати, поєднувати і створювати власну версію, так само, як Enemybot.

Нове зловмисне програмне забезпечення Enemybot пов’язане із загрозою Keksec – сутністю, відомою головним чином тим, що вона здійснювала попередні розподілені атаки відмови в обслуговуванні (DDoS) . Нове шкідливе програмне забезпечення було помічено FortiGuard під час атак, спрямованих на обладнання маршрутизаторів корейського виробника Seowon Intech, а також на більш популярні маршрутизатори D-Link. Погано налаштовані пристрої Android також схильні до атак зловмисного програмного забезпечення.

Справжні небезпеки Enemybot викриті. Щоб скомпрометувати цільові пристрої, Enemybot вдається до широкого спектру відомих експлойтів і вразливостей, включаючи найпопулярніший за минулий рік - Log4j.

Enemybot націлений на широкий спектр пристроїв

Шкідливе програмне забезпечення розгортає файл у каталозі /tmp з розширенням .pwned. Файл .pwned містить просте текстове повідомлення, яке насміхається над жертвою та повідомляє, хто є авторами, в даному випадку - Keksec.

Ботнет Enemybot націлений на майже кожну архітектуру мікросхем, яку ви можете придумати, від різних версій arm, до стандартних x64 і x86, до bsd і spc.

Після розгортання корисне навантаження ботнету завантажує двійкові файли з сервера C2, і двійкові файли використовуються для виконання команд DDoS. Шкідливе програмне забезпечення також має певний рівень обфускації, зокрема використання свого сервера C2 із доменом .onion.

FortiGuard вважає, що над зловмисним програмним забезпеченням все ще активно працюють і вдосконалюються, можливо, більш ніж однією групою загроз через зміни, виявлені в різних версіях повідомлення файлу .pwned.