近日,研究表明,一个从事加密挖矿攻击和分布式拒绝服务(DDoS)攻击的威胁组织可能与一个名为Enemybot的新僵尸网络有关,自上个月以来,已观察到僵尸网络奴役路由器和物联网设备。FortinetFortiGuard全球威胁研究和响应实验室在本周发布的一份报告中描述了Enemybot:“僵尸网络主要来源于Gafgyt源代码。僵尸网络的几个模块。”研究人员普遍认为,该僵尸网络来自一个名为Keksec(又名KekSecurity、Necro或FreakOut)的攻击组织。事实上,在此之前,该团伙已被指与多个僵尸网络有关联,如Simps、Ryuk(不要与同名的勒索软件)和Samael混淆。不仅如此,该团伙还被曝出有攻击云基础设施和DDoS操作以挖掘加密货币的历史。对恶意软件样本的分析显示,Enemybot僵尸网络主要针对SeowonIntech、D-Link和iRZ路由器,通过感染设备增加其数量。分析强调了Enemybot的混淆尝试,这些尝试被发现阻碍了分析过程并连接到托管在Tor匿名网络上的远程服务器以Enemybot和其他僵尸网络一样,是Mirai和Gafgyt源代码结合修改后的产物,最新版本使用了Mirai的scanner和botkiller模块扫描,然后终止同一设备上竞争进程的运行。以下是有关Enemybot僵尸网络用于感染设备的一些n-day漏洞的信息:CVE-2020-17456(CVSS评分9.8)-SeowonIntechSLC-130和SLR-120S设备中的远程代码执行漏洞。CVE-2018-10823(CVSS分数:8.8)-D-Link路由器中的任意代码执行漏洞。CVE-2022-27226(CVSS分数:8.8)-影响iRZ移动路由器的跨站点请求伪造问题会导致远程代码执行。FortinetFortiGuardLabs在报告中特别指出了Enemybot和Gafgyt_tor之间的重叠,并建议“Enemybot很可能是Gafgyt_tor的更新和‘重命名’变体。”有趣的是,几乎在FortinetFortiGuardLabs披露Enemybot僵尸网络的同时,奇虎360网络安全研究实验室(360Netlab)的研究人员详细介绍了一个名为Fodcha的DDoS僵尸网络。从2022年3月29日到4月10日,每天报告超过10,000个活跃的僵尸程序(IP),累计感染总数超过62,000。奇虎360实验室研究人员通过观察发现,Fodcha主要利用Android、GitLab(CVE-2021-22205)、RealtekJungleSDK(CVE-2021-35394)、数字录像机MVPower、LILIN、TOTOLINK和ZHONE扩散已知漏洞在路由器中。参考来源:https://thehackernews.com/2022/04/new-enemybot-ddos-botnet-borrows.html
