一种名为“EnemyBot”的快速增长的IoT恶意软件以内容管理系统(CMS)、Web服务器和Android设备为目标。据研究人员称,目前认为威胁组织“Keksec”是恶意软件传播的幕后黑手。他们补充说,VMwareWorkspaceONE、AdobeColdFusion、WordPress、PHPScriptcase以及IoT和Android设备等服务正成为攻击目标。AT&TAlienLabs在最近的一篇文章中报告说,该恶意软件正在迅速采用1-day漏洞进行广泛的攻击。根据AT&T对恶意软件代码的分析,EnemyBot广泛使用了来自其他僵尸网络(如Mirai、Qbot和Zbot)的攻击代码。Keksec组织通过针对Linux机器和其他IoT设备来分发恶意软件。该威胁组织早在2016年就已成立,该组织包括众多僵尸网络攻击者。EnemyBot的攻击AlienLabs研究团队发现该恶意软件有四个主要部分。第一部分是python脚本“cc7.py”,可用于下载依赖文件并将恶意软件编译成针对不同操作系统架构(x86、ARM、macOS、OpenBSD、PowerPC、MIPS)的软件。编译后,将创建一个名为“update.sh”的批处理文件,以将恶意软件传播到各种易受攻击的目标。第二部分是主僵尸网络源代码,包含了除主部分之外的恶意软件的所有其他功能,并采用了其他各种僵尸网络的源代码,可以结合这些工具进行攻击。第三个模块是混淆工具“hide.c”,可手动编译执行,对恶意字符串进行编解密。根据研究人员的说法,可以使用一个简单的交换表来隐藏字符串,并将每个字符替换为表中的相应字符。最后一部分包含一个命令和控制(CC)组件,用于接收攻击者的命令和有效负载。AT&T研究人员的进一步分析表明,该软件还具有扫描易受攻击的IP地址的扫描功能。并且还有一个“adb_infect”函数可以用来攻击安卓设备。ADB或AndroidDebugBridge是一种命令行工具,可让您直接与设备通信。“如果Android设备通过USB连接,或者如果Android模拟器直接在机器上运行,EnemyBot将尝试通过执行shell命令来感染它,”研究人员说,并补充说Keksec的EnemyBot似乎才刚刚开始传播,然而,由于作者的快速更新,这个僵尸网络有可能成为物联网设备和网络服务器的主要威胁。这个基于Linux的僵尸网络EnemyBot于2022年3月由Securonix首次发现,随后由Fortinet进行了深入分析。EnemyBot当前利用的漏洞AT&T研究人员发布了Enemybot当前利用的漏洞列表,其中一些漏洞尚未分配CVE。该列表包括Log4shell漏洞(CVE-2021-44228、CVE-2021-45046)、F5BIGIP设备(CVE-2022-1388)等。某些漏洞尚未分配CVE,例如PHPScriptcase和Adob??eColdFusion11。Log4shell漏洞-CVE-2021-44228、CVE-2021-45046。F5BIGIP设备-CVE-2022-1388。SpringCloudGateway-CVE-2022-22947。TOTOLinkA3000RU无线路由器-CVE-2022-25075。克莱默VIAWare-CVE-2021-35064。研究人员解释说,这表明Keksec组织资源充足,该组织开发的恶意软件可以在修补之前利用这些漏洞,从而提高其传播速度和规模。建议采取的措施AlienLabs研究人员提出了防止漏洞被利用的方法。建议用户妥善配置防火墙,尽量减少Linux服务器和物联网设备暴露在互联网中的可能性。并且建议组织监视网络流量,扫描出站端口并查找可疑流量。软件应使用最新的安全更新自动更新和修补。本文翻译自:https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/如有转载请注明出处。
