EnemyBot

EnemyBot là một mạng botnet đe dọa mà tội phạm mạng đang sử dụng chủ yếu để khởi chạy các cuộc tấn công DDoS (Từ chối dịch vụ phân tán). Botnet lần đầu tiên được đưa ra ánh sáng trong một báo cáo bảo mật của các nhà nghiên cứu tại Securinox. Tuy nhiên, chỉ một tháng sau, Fortinet đã quan sát thấy các mẫu EnemyBot mới với khả năng xâm nhập mở rộng bao gồm các lỗ hổng cho hơn một chục kiến trúc khác nhau.

Kể từ đó, các nhà phát triển phần mềm độc hại đã không chậm lại và một báo cáo từ AT&T Alien Labs cho thấy các biến thể của EnemyBot hiện có thể khai thác thêm 24 lỗ hổng. Các lỗi bảo mật mới được tích hợp có thể ảnh hưởng đến máy chủ web, thiết bị IoT (Internet of Things), thiết bị Android và hệ thống quản lý nội dung.

Trong số các lỗ hổng được thêm vào là:

• CVE-2022-22954 - một lỗ hổng thực thi mã từ xa được tìm thấy trong VMware Identity Manager và VMWare Workspace ONE Access.
• CVE-2022-22947 - một lỗ hổng thực thi mã từ xa của Spring đã được giải quyết là zero-day vào tháng 3.
• CVE-2022-1388 - thực thi mã từ xa trong F5 BIG-IP có thể cho phép tiếp quản thiết bị.

Hầu hết các khai thác mới của EnemyBot được phân loại là quan trọng trong khi một số thậm chí không có số CVE được gán cho chúng. Điều này nằm trên các khả năng đã bao gồm trước đây, chẳng hạn như tận dụng lợi thế của việc khai thác Log4Shell khét tiếng.

EnemyBot giờ đây cũng có khả năng tạo một shell ngược trên các hệ thống bị xâm phạm. Nếu thành công, các tác nhân đe dọa giờ đây có thể vượt qua các hạn chế nhất định của tường lửa và thiết lập quyền truy cập vào các máy được nhắm mục tiêu. EnemyBot cũng sở hữu các mô-đun chuyên dụng có thể quét các thiết bị phù hợp mới và cố gắng lây nhiễm chúng.