研究者は、本当の危険をさらしているEnemybotハイブリッドボットネットをバラバラにする
セキュリティ会社FortiGuardの研究者チームが、新しいボットネットマルウェアの詳細を記した最近のブログ投稿を公開しました。ボットネットは、主に分散型サービス拒否攻撃の提供に重点を置いており、 Enemybotという名前が付けられています。
EnemybotはMiraiとGafgytのミックスです
FortiGuardによると、Enemybotはミュータントのようなものであり、悪名高いMiraiボットネットとBashliteまたはGafgytボットネットの両方からコードとモジュールを借用しており、後者からさらに借用しています。これらのボットネットファミリーの両方がオンラインでソースコードを利用できるという事実により、新しい脅威アクターは、Enemybotのように、トーチを手に取り、組み合わせて、独自のバージョンを簡単に作成できます。
新しいEnemybotマルウェアは、Keksec脅威アクター(主に以前の分散型サービス拒否(DDoS)攻撃を阻止することで知られているエンティティ)に関連付けられています。新しいマルウェアは、韓国のメーカーであるSeowon Intechによるルーターハードウェアや、より人気のあるD-Linkルーターを標的とした攻撃でFortiGuardによって発見されました。構成が不十分なAndroidデバイスも、マルウェアによる攻撃を受けやすくなっています。
Enemybotの本当の危険性が露呈しました。 Enemybotは、標的となるデバイスを危険にさらすために、昨年の最もホットなものであるLog4jを含む、さまざまな既知のエクスプロイトと脆弱性に頼っています。
Enemybotは幅広いデバイスをターゲットにしています
マルウェアは、拡張子が.pwnedのファイルを/tmpディレクトリにデプロイします。 .pwnedファイルには、被害者を罵倒し、作成者(この場合はKeksec)が誰であるかを伝える簡単なテキストメッセージが含まれています。
Enemybotボットネットは、さまざまなバージョンのarmから、標準のx64およびx86、bsdおよびspcまで、考えられるほぼすべてのチップアーキテクチャを対象としています。
デプロイされると、ボットネットのペイロードはC2サーバーからバイナリをダウンロードし、バイナリはDDoSコマンドを実行するために使用されます。このマルウェアには、C2サーバーが.onionドメインを使用するなど、ある程度の難読化もあります。
FortiGuardは、.pwnedファイルメッセージのさまざまなバージョンで変更が検出されたため、マルウェアはまだ積極的に取り組んでおり、おそらく複数の脅威アクターグループによって改善されていると考えています。