信安在线
一个名为Enemybot的新兴基于 Linux 的僵尸网络已扩展其功能,将最近披露的安全漏洞包括在其武器库中,以针对 Web 服务器、Android 设备和内容管理系统 (CMS)。
“该恶意软件正在迅速采用一日漏洞作为其利用能力的一部分,”AT&T Alien Labs在上周发表的一篇技术文章中表示。“VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服务以及物联网和 Android 设备都是目标。”
Securonix在 3 月首次披露,后来又被Fortinet披露,Enemybot与追踪为 Keksec(又名 Kek Security、Necro 和 FreakOut)的威胁行为者有关,早期攻击针对的是 Seowon Intech、D-Link 和 iRZ 的路由器。
Enemybot 能够进行DDoS 攻击,其起源于其他几个僵尸网络,如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe。对最新变体的分析表明,它由四个不同的组件组成——
- 一个 Python 模块,用于下载依赖项并为不同的操作系统架构编译恶意软件
- 核心僵尸网络部分
- 用于编码和解码恶意软件字符串的混淆段,以及
- 一种命令和控制功能,用于接收攻击命令并获取额外的有效载荷
“如果通过 USB 或机器上运行的 Android 模拟器连接 Android 设备,EnemyBot 将尝试通过执行 [a] shell 命令来感染它,”研究人员指着一个新的“adb_infect”功能说。ADB 指的是Android Debug Bridge,一种用于与 Android 设备通信的命令行实用程序。
还包含一个新的扫描器功能,该功能旨在搜索与面向公众的资产相关的随机 IP 地址以查找潜在漏洞,同时在公开披露的几天内考虑新的错误。
除了 2021 年 12 月曝光的Log4Shell 漏洞外,这还包括 Razer Sila 路由器(无 CVE)、VMware Workspace ONE Access ( CVE-2022-22954 ) 和 F5 BIG-IP ( CVE-2022-1388 )中最近修补的漏洞以及视频同步 PDF 等 WordPress 插件的弱点。
其他武器化的安全缺陷如下 –
- CVE-2022–22947 (CVSS score: 10.0) – Spring Cloud Gateway 中的代码注入漏洞
- CVE-2021-4039(CVSS 评分:9.8) – Zyxel Web 界面中的命令注入漏洞
- CVE-2022-25075(CVSS 评分:9.8) – TOTOLink A3000RU 无线路由器中的命令注入漏洞
- CVE-2021-36356(CVSS 评分:9.8)- KRAMER VIAware 中的远程代码执行漏洞
- CVE-2021-35064(CVSS 评分:9.8)- Kramer VIAWare 中的权限提升和命令执行漏洞
- CVE-2020-7961(CVSS 评分:9.8)——Liferay 门户中的远程代码执行漏洞
