Huis > Cyber ​​Nieuws > Enemybot Botnet maakt nu gebruik van CMS, Webserver- en Android-fouten
CYBER NEWS

Enemybot Botnet maakt nu gebruik van CMS, Webserver- en Android-fouten

door   |  Last Update:  |  0 Reacties  

vijandbot-botnet

Een nieuw distributed denial-of-service- botnet heeft in het wild waargenomen.

Update. Volgens een nieuw onderzoek vrijgegeven door AT&T, EnemyBot wordt nu snel geadopteerd “eendaagse kwetsbaarheden als onderdeel van de exploitatiemogelijkheden.” Diensten zoals VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP-scriptcase, evenals IoT- en Android-apparaten worden ook getarget in deze nieuwe campagnes. Specifieker, de nieuwste variant bevat een webscan-functie die: 24 exploits om kwetsbaarheden in de bovengenoemde apparaten en webservers aan te vallen.

Ontmoet EnemyBot

Nagesynchroniseerd met EnemyBot en onthuld door FortiGuard Labs-onderzoekers, het botnet heeft een kritische impact op specifieke apparaten, inclusief Seowon Intech en D-Link routers, en het maakt ook gebruik van een recent gemelde kwetsbaarheid van de iRZ-router om meer apparaten te infecteren. Onderzoekers zeggen dat het is afgeleid van de broncode van Gafgyt, en heeft verschillende modules geleend van Mirai's originele broncode. EnemyBotnet is toegeschreven aan Keksec, een dreigingsgroep die gespecialiseerd is in cryptomining en DDoS-aanvallen.




Technische details van EnemyBot

Zoals de meeste botnets, deze infecteert ook meerdere architecturen om de kans te vergroten om meer apparaten te infecteren. Naast IoT-apparaten, Enemybot richt zich ook op desktop- en serverarchitecturen zoals BSD, inclusief Darwin (MacOS), en x64, FortiGuard-rapport zei.

Hier is een lijst van de architecturen waarop het botnet zich richt:

arm
arm5
arm64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86

verduistering

EnemyBot gebruikt verduistering om strings op verschillende manieren te verdoezelen:

C2-domein gebruikt XOR-codering met een multi-byte ke
Referenties voor SSH brute-forcing en bot killer-sleutelwoorden gebruiken Mirai-achtige codering, d.w.z., enkele byte XOR-codering met 0x22
Opdrachten worden versleuteld met een substitutiecijfer, dat wil zeggen,, het ene karakter voor het andere verwisselen
Sommige tekenreeksen worden gecodeerd door drie toe te voegen aan de numerieke waarde van elk teken

Ook al zijn deze technieken eenvoudig, ze zijn efficiënt genoeg om eventuele indicatoren van de aanwezigheid van malware te verbergen voor analyse. In feite, de meeste IoT- en DDoS-botnets zijn ontworpen om dergelijke indicatoren te lokaliseren om te voorkomen dat andere botnets op hetzelfde apparaat worden uitgevoerd.




Distributie

Enemybot maakt gebruik van verschillende distributietechnieken, ook typisch voor andere vergelijkbare botnets, zoals het gebruik van een lijst met hardgecodeerde combinaties van gebruikersnaam en wachtwoord om in te loggen op apparaten. Deze apparaten zijn meestal zwak geconfigureerd of gebruiken standaardreferenties. Mirai gebruikte dezelfde techniek.

Om verkeerd geconfigureerde Android-apparaten te infecteren met een blootgestelde Android Debud Bridge-poort (5555), de malware probeert shell-opdrachten uit te voeren. Het botnet maakt ook gebruik van beveiligingsproblemen om zich op specifieke apparaten te richten, zoals in SEOWON INTECH SLC-130 en SLR-120S routers en CVE-2018-10823 in D-Link routers.

Eerder deze maand, we schreven over een ander botnet dat werd onthuld door FortiGuard, die werd beschouwd als een andere variant van de Mirai. Gebeld Beest modus, het botnet maakte misbruik van een lijst met specifieke kwetsbaarheden in TOTOLINK-routers.

De kritieke kwetsbaarheden zijn relatief nieuw, bekendgemaakt in de periode tussen februari en maart 2022. Beïnvloed is het Linux-platform. Als gevolg van de kwetsbaarheden, aanvallers op afstand kunnen controle krijgen over de blootgestelde systemen.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Mirai Botnet Attacks Rise Nadat de broncode is geüpload De beruchte ivd(internet van dingen) botnet Mirai heeft een ...
  2. Aditya Gupta: Tools die nodig zijn om de veiligheid van ivd Devices te verbeteren Aditya Gupta heeft een indrukwekkende achtergrond in beveiligingsonderzoek op internet..
  3. Reaper botnetmalware – Wat is het en hoe te beschermen ivd Devices New Botnet malware has been detected by malware researchers to...
  4. Ivd-gerelateerde risico's: Bedrijfsleven (voor bedrijven) De internet der dingen huisbeveiligingssystemen kunnen alle....
  5. Mirai New Variant gebruikt poort 23, Haven 2323 en CVE-2016-10.401 Een nieuwe variant van Mirai net voor Kerstmis? Zeker, waarom...
  6. Nieuw Mirai-botnet verschijnt, Kwetsbare IoT-apparaten aanvallen Nieuwe beveiligingsrapporten wijzen op de opkomst van nieuwe Mirai-botnets..
  7. The Hide ‘n zoekt IoT Botnet Maakt gebruik van P2P te Devices Target Security analysts uncovered a new worldwide malware threat — the...
  8. Mirai Botnet neemt naar beneden over 900K ivd Devices In Duitsland Wat tot nu toe het grootste botnet lijkt te zijn - ...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens