Το EnemyBot, ένα botnet που ανακαλύφθηκε πρόσφατα και βασίζεται σε κώδικα από πολλά κομμάτια malware, επεκτείνει την εμβέλειά του, εκμεταλλευόμενο κρίσιμες ευπάθειες που αποκαλύφθηκαν το τελευταίο διάστημα σε web servers, συστήματα διαχείρισης περιεχομένου, IoT και Android συσκευές.
Το botnet ανακαλύφθηκε για πρώτη φορά τον Μάρτιο και λίγο αργότερα η Fortinet ανέλυσε κάποια δείγματα που έδειχναν ότι εκμεταλλευόταν ήδη σφάλματα για περισσότερες από δώδεκα αρχιτεκτονικές, συμπεριλαμβανομένων των arm, bsd, x64, and x86.
Δείτε επίσης: Clop ransomware: Επιστρέφει δυναμικά-Πάνω από 20 θύματα σε ένα μήνα
Σύμφωνα με το repository στο Github, το EnemyBot αντλεί τον source code του από πολλά botnets. Ο αρχικός κώδικας botnet που χρησιμοποιεί το EnemyBot περιλαμβάνει στοιχεία από τα: Mirai, Qbot και Zbot.
Βασικός στόχος του είναι η πραγματοποίηση distributed denial-of-service (DDoS) επιθέσεων, ενώ διαθέτει και δυνατότητες που του επιτρέπουν να σαρώνει για νέες συσκευές-στόχους και να τις μολύνει.
EnemyBot: Νέα στοιχεία και δυνατότητες
Μια νέα αναφορά από την AT&T Alien Labs σημειώνει ότι οι τελευταίες παραλλαγές του EnemyBot ενσωματώνουν exploits για 24 ευπάθειες. Οι περισσότερες από αυτές είναι κρίσιμες, αλλά υπάρχουν και κάποιες που δεν έχουν καν αριθμό CVE. Αυτό καθιστά ακόμα πιο δύσκολη την εφαρμογή μέτρων προστασίας.
Τον Απρίλιο, οι περισσότερες από τις ευπάθειες που εκμεταλλευόταν το EnemyBot botnet, αφορούσαν routers και συσκευές IoT, με τα CVE-2022-27226 (iRZ) και CVE-2022-25075 (TOTOLINK) να είναι από τα πιο πρόσφατα και το Log4Shell να είναι το πιο σοβαρό.
Ωστόσο, μια νέα παραλλαγή που αναλύθηκε από την AT&T Alien Labs περιελάμβανε exploits για τα ακόλουθα σφάλματα:
CVE-2022-22954: Κρίσιμο σφάλμα (CVSS: 9.8) που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα και επηρεάζει το VMware Workspace ONE Access και το VMware Identity Manager. Το PoC (proof of concept) exploit έγινε διαθέσιμο τον Απρίλιο του 2022.
CVE-2022-22947: Άλλη μια ευπάθεια που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα στο Spring. Διορθώθηκε ως zero-day τον Μάρτιο του 2022 και χρησιμοποιήθηκε μαζικά τον Απρίλιο του 2022.
CVE-2022-1388: Κρίσιμο σφάλμα (CVSS: 9.8) που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα και επηρεάζει το F5 BIG-IP, απειλώντας ευάλωτα τελικά σημεία με ανάληψη ελέγχου συσκευής. Τα πρώτα PoCs εμφανίστηκαν τον Μάιο του 2022 και η ενεργή εκμετάλλευση ξεκίνησε σχεδόν αμέσως.
Δείτε επίσης: Ενημέρωση για το σφάλμα παράκαμψης ελέγχου ταυτότητας VMware
Εξετάζοντας τη λίστα των υποστηριζόμενων εντολών από νεότερες εκδόσεις του EnemyBot, μπορεί κανείς να ξεχωρίσει την RSHELL, που χρησιμοποιείται για τη δημιουργία ενός reverse shell στο μολυσμένο σύστημα. Αυτό επιτρέπει στους επιτιθέμενους να παρακάμψουν τους περιορισμούς του firewall και να αποκτήσουν πρόσβαση στο παραβιασμένο μηχάνημα.
Αξίζει να σημειωθεί ότι και όλες οι άλλες εντολές που εμφανίζονται στην προηγούμενη έκδοση εξακολουθούν να υπάρχουν. Έτσι, το EnemyBot διαθέτει πολλές επιλογές σχετικά με τις επιθέσεις DDoS.
Όπως είχε ειπωθεί και στις προηγούμενες αναλύσεις, το EnemyBot botnet έχει συνδεθεί με την ομάδα Keksec, που ειδικεύεται σε DDoS επιθέσεις και στο crypto-mining.
Τον Νοέμβριο του 2021, ερευνητές από την Qihoo 360 απέδωσαν στην Keksec την ανάπτυξη botnets για διαφορετικές πλατφόρμες, συμπεριλαμβανομένων των Windows και Linux:
- Botnets που βασίζονται στο Linux: Tsunami και Gafgyt
- Botnets που βασίζονται στα Windows: DarkIRC, DarkHTTP
- Διπλά συστήματα: Necro (αναπτύχθηκε σε Python)
Η ομάδα φαίνεται να είναι έμπειρη στη δημιουργία κακόβουλου λογισμικού και δίνει αρκετή προσοχή στο EnemyBot botnet, προσθέτοντας συνεχώς exploits για νέες ευπάθειες αμέσως μόλις εμφανιστούν και συχνά προτού οι διαχειριστές συστημάτων προλάβουν να εφαρμόσουν διορθώσεις.
Δείτε επίσης: Η Intuit προειδοποιεί τους πελάτες του QuickBooks ότι στοχοποιούνται σε επιθέσεις phishing
Σύμφωνα με την AT&T, κάποιος, πιθανότατα στενά συνδεδεμένος με την Keksec, κυκλοφόρησε τον source code του EnemyBot, καθιστώντας τον διαθέσιμο σε οποιονδήποτε εγκληματία του κυβερνοχώρου.
Προστασία
Για να παραμείνετε ασφαλείς, πρέπει να ενημερώνετε άμεσα τα συστήματά σας για να διορθώνετε ευπάθειες και κενά ασφαλείας. Επίσης, είναι σημαντικό να παρακολουθείτε το network traffic, συμπεριλαμβανομένων των εξερχόμενων συνδέσεων.
Αυτή τη στιγμή, ο κύριος σκοπός του EnemyBot είναι οι επιθέσεις DDoS, αλλά έχει δυνατότητες και για άλλες επιθέσεις (π.χ. cryptomining, πρόσβαση στα συστήματα κλπ). Επομένως, αποτελεί σίγουρα μεγάλη απειλή.
Περσότερες λεπτομέρειες για το botnet και τις νέες του δυνατότητες μπορείτε να βρείτε στην έκθεση της AT&T Alien Labs.
Πηγή: www.bleepingcomputer.com