一個被稱為 "EnemyBot" 的快速發(fā)展的物聯(lián)網(wǎng)惡意軟件,其攻擊目標(biāo)是內(nèi)容管理系統(tǒng)(CMS)���、網(wǎng)絡(luò)服務(wù)器和Android設(shè)備。據(jù)研究人員稱���,目前����,威脅攻擊組織 "Keksec "被認(rèn)為是傳播該惡意軟件的幕后推手����。
他們補(bǔ)充說,諸如VMware Workspace ONE�����、Adobe ColdFusion�、WordPress、PHP Scriptcase等服務(wù)以及物聯(lián)網(wǎng)和安卓設(shè)備正在成為被攻擊的目標(biāo)���。AT&T Alien實驗室在最近的一篇文章中報告說��,該惡意軟件正在迅速采用1day漏洞進(jìn)行大范圍的攻擊��。
根據(jù)AT&T對該惡意軟件代碼分析���,EnemyBot大量使用了Mirai����、Qbot和Zbot等其他僵尸網(wǎng)絡(luò)的攻擊代碼�����。Keksec集團(tuán)通過針對Linux機(jī)器和其他的物聯(lián)網(wǎng)設(shè)備分發(fā)惡意軟件�。這個威脅集團(tuán)早在2016年就已成立,并且該集團(tuán)包括眾多僵尸網(wǎng)絡(luò)攻擊者�。
EnemyBot的攻擊
Alien實驗室研究小組發(fā)現(xiàn),該惡意軟件主要有四個主要部分��。
第一部分是一個python腳本 "cc7.py"���,該工具可以用于下載依賴文件����,并將惡意軟件編譯成針對不同操作系統(tǒng)架構(gòu)(x86�����,ARM,macOS��,OpenBSD��,PowerPC����,MIPS)的軟件��。編譯完成后�,將會創(chuàng)建一個名為"update.sh "的批處理文件來將惡意軟件傳播到各種易受攻擊的目標(biāo)上。
第二部分是主要的僵尸網(wǎng)絡(luò)源代碼��,除了主要部分�,它包含了惡意軟件的其他所有功能,并采用了其他各種僵尸網(wǎng)絡(luò)的源代碼�����,這些工具可以結(jié)合起來進(jìn)行攻擊�����。
第三個模塊是混淆工具"hide.c",它可以進(jìn)行手動編譯和執(zhí)行����,并且對惡意軟件的字符串進(jìn)行編碼和解密。據(jù)研究人員稱��,一個簡單的swap表可以用來隱藏字符串����,并把每個字符都替換成表中的相應(yīng)字符。
最后一部分包含了一個命令和控制(CC)組件��,可以接收攻擊者的攻擊命令以及有效載荷��。
AT&T研究人員進(jìn)一步分析顯示�����,該軟件還有一個掃描器功能��,可以掃描易受攻擊的IP地址���。并且還有一個"adb_infect "功能����,可以用于攻擊安卓設(shè)備。
ADB或安卓調(diào)試橋是一個命令行工具�����,它允許你直接與設(shè)備進(jìn)行通信��。
研究人員說:"如果安卓設(shè)備通過USB連接��,或在機(jī)器上直接運(yùn)行安卓模擬器����,EnemyBot將會試圖通過執(zhí)行shell命令來感染它。”
研究人員補(bǔ)充說�,Keksec的EnemyBot似乎剛剛開始傳播�����,然而由于作者的快速更新�����,這個僵尸網(wǎng)絡(luò)有可能成為物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)服務(wù)器的主要威脅����。
這個基于Linux的僵尸網(wǎng)絡(luò)EnemyBot是由Securonix在2022年3月首次發(fā)現(xiàn)的���,后來Fortinet對此做了深入分析。
目前在被EnemyBot利用的漏洞
AT&T研究人員發(fā)布了一份目前在被Enemybot利用的漏洞清單���,其中一些漏洞還沒有分配到CVE�����。
該列表包括Log4shell漏洞(CVE-2021-44228��,CVE-2021-45046)��,F(xiàn)5 BIG IP設(shè)備(CVE-2022-1388)以及其他漏洞����。有些漏洞還沒有分配到CVE��,如PHP Scriptcase和Adobe ColdFusion 11����。
Log4shell漏洞 - CVE-2021-44228, CVE-2021-45046
F5 BIG IP設(shè)備 - CVE-2022-1388
Spring Cloud Gateway - CVE-2022-22947
TOTOLink A3000RU無線路由器 - CVE-2022-25075
Kramer VIAWare - CVE-2021-35064
該研究人員解釋說,這表明Keksec集團(tuán)的資源很充足�,該集團(tuán)開發(fā)的惡意軟件可以在漏洞被修補(bǔ)之前利用這些漏洞,從而提高其傳播的速度和規(guī)模�����。
建議采取的行動
Alien實驗室的研究人員提出了防止漏洞被攻擊利用的方法。建議用戶正確配置防火墻�,并盡量減少Linux服務(wù)器和物聯(lián)網(wǎng)設(shè)備在互聯(lián)網(wǎng)上暴露的可能性。
并且建議組織監(jiān)控網(wǎng)絡(luò)流量����,掃描出站端口并尋找可疑的流量。軟件要自動更新����,并打上最新的安全更新補(bǔ)丁。
參考及來源:https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761