Ένα πρόσφατα αναγνωρισμένο botnet DDoS έχει στοχεύσει πολλά μοντέλα δρομολογητών και διάφορους τύπους διακομιστών Ιστού εκμεταλλευόμενοι γνωστά τρωτά σημεία, προειδοποιεί η Fortinet.
Το Enemybotτο botnet φαίνεται να είναι έργο της Keksec, μιας καθιερωμένης ομάδας εγκλήματος στον κυβερνοχώρο που ειδικεύεται στις επιθέσεις DDoS και στην εξόρυξη κρυπτονομισμάτων.
Το κακόβουλο λογισμικό κατασκευάστηκε χρησιμοποιώντας τον πηγαίο κώδικα του botnet Gafgyt (Bashlite) – το οποίο διέρρευσε το 2015 – με ορισμένες μονάδες δανεισμένες από το διαβόητο Mirai , συμπεριλαμβανομένης της μονάδας σαρωτή και μιας μονάδας bot killer.
Το Enemybot χρησιμοποιεί πολλές τεχνικές συσκότισης που έχουν ως στόχο όχι μόνο να αποτρέπουν την ανάλυση, αλλά και να το κρατούν κρυφό από άλλα botnet και συνδέεται με έναν διακομιστή εντολών και ελέγχου (C&C) στο δίκτυο Tor.
Το νέο botnet στοχεύει πολλές αρχιτεκτονικές που χρησιμοποιούνται σε προϊόντα Διαδικτύου των πραγμάτων (IoT) και μπορεί επίσης να στοχεύσει το x86, γεγονός που αυξάνει τις πιθανότητες μόλυνσης.
Για να διαδοθεί, το Enemybot επιχειρεί να παραβιάσει συσκευές χρησιμοποιώντας γνωστούς συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης, εκτελώντας εντολές φλοιού σε συσκευές Android με εκτεθειμένη θύρα Android Debug Bridge (5555) και στοχεύοντας περίπου 20 γνωστά τρωτά σημεία του δρομολογητή.
Το πιο πρόσφατο από τα στοχευμένα κενά ασφαλείας είναι το CVE-2022-27226, ένα ζήτημα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει τους δρομολογητές κινητών iRZ και το οποίο δημοσιοποιήθηκε στις 19 Μαρτίου 2022. Το Enemybot, επισημαίνει το Fortinet, είναι το πρώτο botnet που στοχεύει συσκευές από αυτόν τον πωλητή.
Η απειλή στοχεύει επίσης τις διαβόητες πλέον ευπάθειες αποκαλύφθηκαν πέρυσι (CVE-2021-44228 και CVE-2021-45046), καθώς και μερικά ζητήματα διέλευσης διαδρομής στον διακομιστή Apache HTTP (CVE-2021-4177 CVE-2021-42013).
Το Enemybot επιχειρεί επίσης να εκμεταλλευτεί ευπάθειες σε δρομολογητές TOTOLINK και δρομολογητές Seowon, καθώς και παλαιότερα ελαττώματα σε ThinkPHP, δρομολογητές D-Link, προϊόντα NETGEAR, δρομολογητές Zhone και συσκευές ZyXEL.
Μόλις γίνει επιτυχής εκμετάλλευση μιας ευπάθειας, το κακόβουλο λογισμικό εκτελεί μια εντολή κελύφους για λήψη ενός σεναρίου φλοιού από μια διεύθυνση URL που ενημερώνεται δυναμικά από την C&C. Το σενάριο είναι υπεύθυνο για τη λήψη του πραγματικού δυαδικού αρχείου Enemybot που έχει μεταγλωττιστεί για την αρχιτεκτονική της συσκευής-στόχου.
Μετά από μια επιτυχή μόλυνση, το κακόβουλο λογισμικό συνδέεται με τον διακομιστή C&C και περιμένει οδηγίες. Με βάση τις λαμβανόμενες εντολές, μπορεί να εκτελέσει επιθέσεις ενίσχυσης DNS και διάφορους τύπους επιθέσεων DDoS, να μυρίσει την κυκλοφορία και να εξαπλωθεί σε άλλες συσκευές μέσω επιθέσεων ωμής βίας.
«Αυτός ο συνδυασμός εκμεταλλεύσεων που στοχεύουν διακομιστές ιστού και εφαρμογές πέρα από τις συνηθισμένες συσκευές IoT, σε συνδυασμό με το ευρύ φάσμα υποστηριζόμενων αρχιτεκτονικών, μπορεί να είναι ένα σημάδι ότι η Keksec δοκιμάζει τη βιωσιμότητα της επέκτασης του botnet πέρα από συσκευές IoT χαμηλών πόρων για περισσότερες από επιθέσεις DDoS . Με βάση τις προηγούμενες λειτουργίες τους στο botnet, η χρήση τους για κρυπτονομία είναι μια μεγάλη πιθανότητα», σημειώνει η Fortinet.