Un nuovo Distributed Denial of Service botnet è stato rilevato nel selvaggio.
Aggiornamento. Secondo una nuova ricerca pubblicata da AT&T, EnemyBot ora sta adottando rapidamente “vulnerabilità di un giorno come parte delle sue capacità di sfruttamento.” Servizi come VMware Workspace ONE, Adobe ColdFusion, WordPress, Caso di script PHP, così come i dispositivi IoT e Android vengono presi di mira in queste nuove campagne. Più specificamente, l'ultima variante include una funzione di scansione web che contiene 24 exploit per attaccare le vulnerabilità nei suddetti dispositivi e server web.
Incontra EnemyBot
Soprannominato EnemyBot e divulgato dai ricercatori di FortiGuard Labs, la botnet ha un impatto critico su dispositivi specifici, compresi i router Seowon Intech e D-Link, e sfrutta anche una vulnerabilità del router iRZ segnalata di recente per infettare più dispositivi. I ricercatori affermano che è stato derivato dal codice sorgente di Gafgyt, e ha preso in prestito diversi moduli dal codice sorgente originale di Mirai. EnemyBotnet è stato attribuito a Keksec, un gruppo di minacce specializzato in cryptomining e attacchi DDoS.
Dettagli tecnici di EnemyBot
Come la maggior parte delle botnet, questo infetta anche più architetture per aumentare le sue possibilità di infettare più dispositivi. Oltre ai dispositivi IoT, Enemybot prende di mira anche architetture desktop e server come BSD, compreso Darwin (Mac OS), e x64, Rapporto FortiGuard disse.
Ecco un elenco delle architetture di destinazione della botnet:
braccio
braccio5
braccio64
braccio7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440 fps
sh4
spc
x64
X86
Offuscazione
EnemyBot usa l'offuscamento per offuscare le stringhe in diversi modi:
Il dominio C2 utilizza la codifica XOR con un ke multibyte
Le credenziali per le parole chiave SSH brute force e bot killer utilizzano la codifica in stile Mirai, cioè, codifica XOR a byte singolo con 0x22
I comandi sono crittografati con un codice di sostituzione, i.e,, scambiando un carattere con un altro
Alcune stringhe vengono codificate semplicemente aggiungendo tre al valore numerico di ciascun carattere
Anche se queste tecniche sono semplici, sono abbastanza efficienti da nascondere qualsiasi indicatore della presenza di malware dall'analisi. Infatti, la maggior parte delle botnet IoT e DDoS sono progettate per individuare tali indicatori per interrompere l'esecuzione di altre botnet sullo stesso dispositivo.
Distribuzione
Enemybot sfrutta diverse tecniche di distribuzione, tipico anche per altre botnet simili, come l'utilizzo di un elenco di combinazioni di nome utente e password codificate per accedere ai dispositivi. Questi dispositivi sono generalmente configurati in modo debole o utilizzano credenziali predefinite. Mirai ha usato la stessa tecnica.
Per infettare dispositivi Android configurati in modo errato con una porta Android Debud Bridge esposta (5555), il malware tenta di eseguire comandi di shell. La botnet utilizza anche le vulnerabilità di sicurezza per colpire dispositivi specifici, come nei router SEOWON INTECH SLC-130 e SLR-120S e CVE-2018-10823 nei router D-Link.
All'inizio di questo mese, abbiamo scritto di un'altra botnet divulgata da FortiGuard, che era considerata un'altra variante del Mirai. Chiamato Modalità Bestia, la botnet stava sfruttando un elenco di vulnerabilità specifiche nei router TOTOLINK.
Le vulnerabilità critiche sono relativamente nuove, divulgato nel periodo compreso tra febbraio e marzo 2022. Interessata è la piattaforma Linux. Come risultato delle vulnerabilità, aggressori remoti potrebbero ottenere il controllo sui sistemi esposti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: