一個被稱為 "EnemyBot" 的快速發(fā)展的物聯(lián)網(wǎng)惡意軟件，其攻擊目標是內(nèi)容管理系統(tǒng)(CMS)、網(wǎng)絡服務器和Android設備。據(jù)研究人員稱，目前，威脅攻擊組織 "Keksec "被認為是傳播該惡意軟件的幕后推手。

他們補充說，諸如VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服務以及物聯(lián)網(wǎng)和安卓設備正在成為被攻擊的目標。AT&T Alien實驗室在最近的一篇文章中報告說，該惡意軟件正在迅速采用1day漏洞進行大范圍的攻擊。

根據(jù)AT&T對該惡意軟件代碼分析，EnemyBot大量使用了Mirai、Qbot和Zbot等其他僵尸網(wǎng)絡的攻擊代碼。Keksec集團通過針對Linux機器和其他的物聯(lián)網(wǎng)設備分發(fā)惡意軟件。這個威脅集團早在2016年就已成立，并且該集團包括眾多僵尸網(wǎng)絡攻擊者。

EnemyBot的攻擊

Alien實驗室研究小組發(fā)現(xiàn)，該惡意軟件主要有四個主要部分。

第一部分是一個python腳本 "cc7.py"，該工具可以用于下載依賴文件，并將惡意軟件編譯成針對不同操作系統(tǒng)架構(x86，ARM，macOS，OpenBSD，PowerPC，MIPS)的軟件。編譯完成后，將會創(chuàng)建一個名為"update.sh "的批處理文件來將惡意軟件傳播到各種易受攻擊的目標上。

第二部分是主要的僵尸網(wǎng)絡源代碼，除了主要部分，它包含了惡意軟件的其他所有功能，并采用了其他各種僵尸網(wǎng)絡的源代碼，這些工具可以結合起來進行攻擊。

第三個模塊是混淆工具"hide.c"，它可以進行手動編譯和執(zhí)行，并且對惡意軟件的字符串進行編碼和解密。據(jù)研究人員稱，一個簡單的swap表可以用來隱藏字符串，并把每個字符都替換成表中的相應字符。

最后一部分包含了一個命令和控制(CC)組件，可以接收攻擊者的攻擊命令以及有效載荷。

AT&T研究人員進一步分析顯示，該軟件還有一個掃描器功能，可以掃描易受攻擊的IP地址。并且還有一個"adb_infect "功能，可以用于攻擊安卓設備。

ADB或安卓調(diào)試橋是一個命令行工具，它允許你直接與設備進行通信。

研究人員說："如果安卓設備通過USB連接，或在機器上直接運行安卓模擬器，EnemyBot將會試圖通過執(zhí)行shell命令來感染它?！?/p>

研究人員補充說，Keksec的EnemyBot似乎剛剛開始傳播，然而由于作者的快速更新，這個僵尸網(wǎng)絡有可能成為物聯(lián)網(wǎng)設備和網(wǎng)絡服務器的主要威脅。

這個基于Linux的僵尸網(wǎng)絡EnemyBot是由Securonix在2022年3月首次發(fā)現(xiàn)的，后來Fortinet對此做了深入分析。

目前在被EnemyBot利用的漏洞

AT&T研究人員發(fā)布了一份目前在被Enemybot利用的漏洞清單，其中一些漏洞還沒有分配到CVE。

該列表包括Log4shell漏洞(CVE-2021-44228，CVE-2021-45046)，F(xiàn)5 BIG IP設備(CVE-2022-1388)以及其他漏洞。有些漏洞還沒有分配到CVE，如PHP Scriptcase和Adobe ColdFusion 11。

Log4shell漏洞 - CVE-2021-44228, CVE-2021-45046。

F5 BIG IP設備 - CVE-2022-1388。

Spring Cloud Gateway - CVE-2022-22947。

TOTOLink A3000RU無線路由器 - CVE-2022-25075。

Kramer VIAWare - CVE-2021-35064。

該研究人員解釋說，這表明Keksec集團的資源很充足，該集團開發(fā)的惡意軟件可以在漏洞被修補之前利用這些漏洞，從而提高其傳播的速度和規(guī)模。

建議采取的行動

Alien實驗室的研究人員提出了防止漏洞被攻擊利用的方法。建議用戶正確配置防火墻，并盡量減少Linux服務器和物聯(lián)網(wǎng)設備在互聯(lián)網(wǎng)上暴露的可能性。

并且建議組織監(jiān)控網(wǎng)絡流量，掃描出站端口并尋找可疑的流量。軟件要自動更新，并打上最新的安全更新補丁。

本文翻譯自：https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/如若轉(zhuǎn)載，請注明原文地址。