Το EnemyBot, ένα botnet που βασίζεται σε κώδικα από πολλά κομμάτια κακόβουλου λογισμικού, επεκτείνει την εμβέλειά του προσθέτοντας γρήγορα εκμεταλλεύσεις για κρίσιμα τρωτά σημεία που αποκαλύφθηκαν πρόσφατα σε διακομιστές ιστού, συστήματα διαχείρισης περιεχομένου, IoT και Android συσκευές.
Το botnet ανακαλύφθηκε για πρώτη φορά τον Μάρτιο από ερευνητές της Securonix και τον Απρίλιο, όταν ανάλυση νεότερων δειγμάτων από το Fortinet, το EnemyBot είχε ήδη ενσωματώσει ελαττώματα για περισσότερες από δώδεκα αρχιτεκτονικές επεξεργαστών.
Ο κύριος σκοπός του είναι η εκτόξευση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS) και το κακόβουλο λογισμικό διαθέτει επίσης λειτουργικές μονάδες για τη σάρωση για νέες συσκευές-στόχους και τη μόλυνση τους.
Προσθήκη νέων παραλλαγών
Μια νέα αναφορά από την AT&T Alien Labs επισημαίνει ότι οι πιο πρόσφατες παραλλαγές του EnemyBot ενσωματώνουν εκμεταλλεύσεις για 24 τρωτά σημεία. Τα περισσότερα από αυτά είναι κρίσιμα, αλλά υπάρχουν πολλά που δεν έχουν καν αριθμό CVE, γεγονός που καθιστά πιο δύσκολο για τους υπερασπιστές να εφαρμόσουν προστασίες.
Τον Απρίλιο, τα περισσότερα από τα ελαττώματα αφορούσαν δρομολογητές και συσκευές IoT, με τα CVE-2022-27226 (iRZ) και CVE-2022-25075 (TOTOLINK) να είναι από τα πιο πρόσφατα και το Log4Shell να είναι το πιο αξιοσημείωτο.
Ωστόσο, μια νέα παραλλαγή που αναλύθηκε από την AT&T Alien Labs περιελάμβανε εκμεταλλεύσεις για τα ακόλουθα ζητήματα ασφάλειας:
- CVE-2022-22954: Κρίσιμο (CVSS: 9.8) ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει το VMware Workspace ONE Access και το VMware Identity Manager. Το PoC (proof of concept) exploit έγινε διαθέσιμο τον Απρίλιο του 2022.
- CVE-2022-22947: Ελάττωμα απομακρυσμένης εκτέλεσης κώδικα την Άνοιξη, διορθώθηκε ως μηδενική ημέρα τον Μάρτιο του 2022και στοχεύτηκε μαζικά τον Απρίλιο του 2022.
- CVE-2022-1388: Κρίσιμο (CVSS: 9.8) ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει το F5 BIG-IP, απειλώντας ευάλωτα τελικά σημεία με ανάληψη συσκευής. Τα πρώτα PoCs εμφανίστηκαν στη φύση τον Μάιο του 2022και η ενεργός εκμετάλλευση ξεκίνησε σχεδόν αμέσως.
Προσθήκη του CVE-2022-22954 στον κωδικό του EnemyBot (AT&T)
Εξετάζοντας τη λίστα των υποστηριζόμενων εντολών από νεότερες εκδόσεις του κακόβουλου λογισμικού, το RSHELL ξεχωρίζει, το οποίο χρησιμοποιείται για τη δημιουργία ενός αντίστροφου κελύφους στο μολυσμένο σύστημα. Αυτό επιτρέπει στον παράγοντα απειλής να παρακάμψει τους περιορισμούς του τείχους προστασίας και να αποκτήσει πρόσβαση στο παραβιασμένο μηχάνημα.
Όλες οι εντολές που εμφανίζονται στην προηγούμενη έκδοση εξακολουθούν να υπάρχουν, προσφέροντας μια πλούσια λίστα επιλογών σχετικά με επιθέσεις DDoS.