EnemyBot恶意软件增加了对VMware等关键漏洞的攻击他们的范围。该僵尸网络于3月首次被Securonix研究人员发现,当分析来自Fortinet的四个新样本时,发现EnemyBot在十多个处理器架构中集成了漏洞。它的主要目的是发起分布式拒绝服务(DDoS)攻击,但它也有一个模块可以扫描新的目标设备并感染它们。AT&TAlienLabs的一份新报告指出,EnemyBot的最新变体包含24个漏洞。其中大部分都很关键,有几个甚至没有CVE编号,这让防御者更难保护。4月份的大多数漏洞都与路由器和物联网设备有关,其中CVE-2022-27226(iRZ)和CVE-2022-25075(TOTOLINK)是最新的漏洞,而Log4Shell是最值得注意的。但是,AT&TAlienLabs分析的一个新变体包括针对以下安全问题的利用:CVE-2022-22954:严重(CVSS:9.8)远程代码执行漏洞影响VMwareWorkspaceONEAccess和VMwareIdentityManager。2022年4月可用的PoC漏洞。CVE-2022-22947:Spring中的一个远程代码执行漏洞,在2022年3月被修复为零日漏洞,并在2022年4月成为大规模攻击的目标。CVE-2022-1388:影响F5BIG-IP的关键(CVSS:9.8)远程代码执行漏洞会通过设备接管威胁易受攻击的端点。第一个PoC于2022年5月出现,几乎立即开始被积极利用。查看较新版本的恶意软件支持的命令列表,RSHELL脱颖而出,因为它用于在受感染的系统上创建反向shell,允许威胁参与者绕过防火墙限制并获得对受感染机器的访问权限。以前版本中看到的所有命令仍然存在,并带有丰富的DDoS攻击选项列表。EnemyBot背后的组织Keksec正在积极开发恶意软件并拥有其他恶意项目:Tsunami、Gafgyt、DarkHTTP、DarkIRC和Necro。这似乎是一位经验丰富的恶意软件作者,他特别关注最新项目,并且随着新漏洞的出现,它们通常在系统管理员有机会应用修复程序之前添加。更糟糕的是,AT&T报告说,可能与Keksec有密切联系的人已经发布了EnemyBot源代码,任何对手都可以使用它。防止此类威胁的建议包括在更新可用时立即修补软件产品并监控网络流量,包括出站连接。目前,EnemyBot的主要目的是DDoS攻击,但也需要考虑其他可能性(例如加密、访问),特别是因为恶意软件现在以更强大的设备为目标。参考来源:https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/
