一個(gè)被稱為 "EnemyBot" 的快速發(fā)展的物聯(lián)網(wǎng)惡意軟件，其攻擊目標(biāo)是內(nèi)容管理系統(tǒng)(CMS)、網(wǎng)絡(luò)服務(wù)器和Android設(shè)備。據(jù)研究人員稱，目前，威脅攻擊組織 "Keksec "被認(rèn)為是傳播該惡意軟件的幕后推手。

他們補(bǔ)充說，諸如VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服務(wù)以及物聯(lián)網(wǎng)和安卓設(shè)備正在成為被攻擊的目標(biāo)。AT&T Alien實(shí)驗(yàn)室在最近的一篇文章中報(bào)告說，該惡意軟件正在迅速采用1day漏洞進(jìn)行大范圍的攻擊。

根據(jù)AT&T對(duì)該惡意軟件代碼分析，EnemyBot大量使用了Mirai、Qbot和Zbot等其他僵尸網(wǎng)絡(luò)的攻擊代碼。Keksec集團(tuán)通過針對(duì)Linux機(jī)器和其他的物聯(lián)網(wǎng)設(shè)備分發(fā)惡意軟件。這個(gè)威脅集團(tuán)早在2016年就已成立，并且該集團(tuán)包括眾多僵尸網(wǎng)絡(luò)攻擊者。

EnemyBot的攻擊

Alien實(shí)驗(yàn)室研究小組發(fā)現(xiàn)，該惡意軟件主要有四個(gè)主要部分。

第一部分是一個(gè)python腳本 "cc7.py"，該工具可以用于下載依賴文件，并將惡意軟件編譯成針對(duì)不同操作系統(tǒng)架構(gòu)(x86，ARM，macOS，OpenBSD，PowerPC，MIPS)的軟件。編譯完成后，將會(huì)創(chuàng)建一個(gè)名為"update.sh "的批處理文件來將惡意軟件傳播到各種易受攻擊的目標(biāo)上。

第二部分是主要的僵尸網(wǎng)絡(luò)源代碼，除了主要部分，它包含了惡意軟件的其他所有功能，并采用了其他各種僵尸網(wǎng)絡(luò)的源代碼，這些工具可以結(jié)合起來進(jìn)行攻擊。

第三個(gè)模塊是混淆工具"hide.c"，它可以進(jìn)行手動(dòng)編譯和執(zhí)行，并且對(duì)惡意軟件的字符串進(jìn)行編碼和解密。據(jù)研究人員稱，一個(gè)簡單的swap表可以用來隱藏字符串，并把每個(gè)字符都替換成表中的相應(yīng)字符。

最后一部分包含了一個(gè)命令和控制(CC)組件，可以接收攻擊者的攻擊命令以及有效載荷。

AT&T研究人員進(jìn)一步分析顯示，該軟件還有一個(gè)掃描器功能，可以掃描易受攻擊的IP地址。并且還有一個(gè)"adb_infect "功能，可以用于攻擊安卓設(shè)備。

ADB或安卓調(diào)試橋是一個(gè)命令行工具，它允許你直接與設(shè)備進(jìn)行通信。

研究人員說："如果安卓設(shè)備通過USB連接，或在機(jī)器上直接運(yùn)行安卓模擬器，EnemyBot將會(huì)試圖通過執(zhí)行shell命令來感染它。”

研究人員補(bǔ)充說，Keksec的EnemyBot似乎剛剛開始傳播，然而由于作者的快速更新，這個(gè)僵尸網(wǎng)絡(luò)有可能成為物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)服務(wù)器的主要威脅。

這個(gè)基于Linux的僵尸網(wǎng)絡(luò)EnemyBot是由Securonix在2022年3月首次發(fā)現(xiàn)的，后來Fortinet對(duì)此做了深入分析。

目前在被EnemyBot利用的漏洞

AT&T研究人員發(fā)布了一份目前在被Enemybot利用的漏洞清單，其中一些漏洞還沒有分配到CVE。

該列表包括Log4shell漏洞(CVE-2021-44228，CVE-2021-45046)，F(xiàn)5 BIG IP設(shè)備(CVE-2022-1388)以及其他漏洞。有些漏洞還沒有分配到CVE，如PHP Scriptcase和Adobe ColdFusion 11。

Log4shell漏洞 - CVE-2021-44228, CVE-2021-45046。

F5 BIG IP設(shè)備 - CVE-2022-1388。

Spring Cloud Gateway - CVE-2022-22947。

TOTOLink A3000RU無線路由器 - CVE-2022-25075。

Kramer VIAWare - CVE-2021-35064。

該研究人員解釋說，這表明Keksec集團(tuán)的資源很充足，該集團(tuán)開發(fā)的惡意軟件可以在漏洞被修補(bǔ)之前利用這些漏洞，從而提高其傳播的速度和規(guī)模。

建議采取的行動(dòng)

Alien實(shí)驗(yàn)室的研究人員提出了防止漏洞被攻擊利用的方法。建議用戶正確配置防火墻，并盡量減少Linux服務(wù)器和物聯(lián)網(wǎng)設(shè)備在互聯(lián)網(wǎng)上暴露的可能性。

并且建議組織監(jiān)控網(wǎng)絡(luò)流量，掃描出站端口并尋找可疑的流量。軟件要自動(dòng)更新，并打上最新的安全更新補(bǔ)丁。

本文翻譯自：https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/如若轉(zhuǎn)載，請(qǐng)注明原文地址。