近日,基于Linux的僵尸网络“Enemybot”出现了一个新变种。内容管理系统(CMS)中的安全漏洞。“恶意软件(Enemybot)正在迅速采用1-day漏洞作为其攻击能力的一部分,”AT&TAlienLabs上周在一份技术报告中表示。“VMwareWorkspaceONE、AdobeColdFusion、WordPress、PHPScriptcase以及物联网和安卓设备等服务都将成为目标。”根据3月份的报道,Enemybot最先由Securonix披露,随后由Fortinet披露。Enemybot与被追踪为Keksec(又名KekSecurity、Necro和FreakOut)的威胁行为者相关联,早期攻击针对来自SeowonIntech、D-Link和iRZ的路由器。Enemybot:僵尸网络的新变种所谓僵尸网络“Botnet”是指利用一种或多种传播手段,使大量主机感染bot程序(botprogram)病毒,从而在控制者之间形成可靠的网络和受感染的主机。一对多控制网络。“攻击者通过各种手段传播僵尸程序,感染互联网上的大量主机,被感染的主机会通过控制通道接收攻击者的指令,形成僵尸网络。”据了解,此次具备DDoS攻击能力的Enemybot是僵尸网络的新变种,起源于Mirai、Qbot、Zbot、Gafgyt、LolFMe等多个僵尸网络。对这个最新变种的分析表明,Enemybot由上述四个僵尸网络的不同部分组成:一个Python模块,用于下载依赖项并为不同的操作系统架构编译恶意软件,以及一个核心部分,用于编码和解码恶意软件字符串的混淆段用于接收攻击命令和获取额外负载的命令和控制功能研究人员指出,如果Android设备通过USB或通过机器上运行的Android模拟器连接,EnemyBot将尝试通过执行shell命令(“adb_infect“功能)来“感染”它。adb是指AndroidDebugBridge,一种用于与Android设备通信的命令行实用程序。此外,EnemyBot还集成了一项新的扫描功能,旨在搜索与面向公众的资产相关的随机IP地址以寻找潜在的安全漏洞,包括在公开披露后几天内出现的新漏洞。例如,除了2021年12月暴露的Log4Shell漏洞外,这还包括RazerSila路由器(无CVE)、VMwareWorkspaceONEAccess(CVE-2022-22954)和F5BIG-IP(CVE-2022-1388)。视频同步PDF等WordPress插件中的缺陷和缺陷。其他安全漏洞如下:CVE-2022-22947(CVSS分数:10.0)-SpringCloudGateway中的代码注入漏洞CVE-2021-4039(CVSS分数:9.8)-Zyxel的Web界面中的命令注入漏洞CVE-2022-25075(CVSS分数:9.8)-TOTOLinkA3000RU无线路由器中的命令注入漏洞CVE-2021-36356(CVSS分数:9.8)-VIAware中的KRAMER远程代码执行漏洞CVE-2021-35064(CVSS分数:9.8)-Kramer特权提升VIAWare中的命令执行漏洞CVE-2020-7961(CVSS分数:9.8)-Liferay门户中的远程代码执行漏洞目前,该僵尸网络“EnemyBot”的源代码已在GitHub上共享,可广泛用于其他威胁参与者.“我对该程序造成的任何损害概不负责,”在GitHub上阅读该项目的自述文件。“ThisispostedunderApachelicenseandisalsoconsideredart”(ThisispostedunderApachelicenseandalsoconsideredart)。“Keksec的Enemybot似乎才刚刚开始传播,但由于作者的快速更新,这个僵尸网络有可能成为物联网设备和网络服务器的主要威胁,”研究人员说。恶意软件在修补之前利用漏洞,从而提高它们传播的速度和规模。据报道,EnemyBot是Keksec僵尸网络家族的新成员,同样由Gafgyt修改。其恶意程序大量复用了属于Keksec僵尸网络家族(包括LOLFME、Gafgyt、Gafgyt_Tor、Necro等)的代码。由于EnemyBot是一个基于多种恶意软件代码的僵尸网络,并通过快速添加漏洞利用扩大其影响范围,其新变种已添加24个针对不同设备和Web服务器的漏洞利用。参考链接:https://thehackernews.com/202...
