EnemyBot是一個基于多個惡意軟體代碼的僵屍網絡,它通過迅速增加對最近披露的網絡伺服器、内容管理系統、物聯網和Android裝置的關鍵漏洞的利用來擴大其影響範圍。該僵屍網絡于3月由 Securonix 的研究人員首次發現,在4份對Fortinet的新樣本進行分析時,發現EnemyBot已經內建了十幾種處理器架構的漏洞。它的主要目的是發起分布式拒絕服務 (DDoS) 攻擊,同時還具有掃描新目标裝置并感染它們的子產品。
AT&T Alien Labs的一份新報告指出,EnemyBot的最新變體包含24個漏洞利用。其中大多數都很關鍵,有幾個甚至沒有CVE編号,這使得防禦者更難以實施保護。4月份的多數漏洞與路由器和物聯網裝置有關,其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞,而Log4Shell是最引人注目的。然而,AT&T Alien Labs 分析的一個新變種包括針對以下安全問題的漏洞利用:
- CVE-2022-22954:影響VMware Workspace ONE Access和VMware Identity Manager的嚴重 (CVSS: 9.8) 遠端代碼執行漏洞。PoC漏洞利用于2022年4月提供。
- CVE-2022-22947:Spring中的遠端代碼執行漏洞,在 2022年3月修複為零日漏洞,并在 2022 年4月成為大規模攻擊目标。
- CVE-2022-1388 :影響F5 BIG-IP的嚴重 (CVSS: 9.8) 遠端代碼執行漏洞,通過裝置接管威脅易受攻擊的端點。第一個PoC于2022年5月在野外出現,并且幾乎立即就開始被積極利用。
通過檢視較新版本的惡意軟體支援的指令清單,RSHELL脫穎而出,它被用于在受感染的系統上建立反向shell,這允許威脅參與者繞過防火牆限制并通路受感染的機器。而以前版本中看到的所有指令仍然存在,且提供了有關 DDoS 攻擊的豐富選項清單。
EnemyBot背後的組織Keksec正在積極開發該惡意軟體,并擁有其他惡意項目:Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。這似乎是一位經驗豐富的惡意軟體作者,他對最新項目表現出特别的關注,一旦出現新的漏洞利用,通常會在系統管理者有機會應用修複之前添加。更糟糕的是,AT&T 報告稱,可能與 Keksec 有密切關聯的人已經釋出了 EnemyBot 源代碼,這就導緻任何對手都可以使用它。
防範此類威脅的建議包括在更新可用時立即修補軟體産品并監控網絡流量。目前,EnemyBot 的主要目的是 DDoS 攻擊,但也需要考慮其他可能性(例如加密、通路),特别是因為惡意軟體現在針對更強大的裝置。
參考來源
https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/