EnemyBot
EnemyBot ist ein bedrohliches Botnetz, das Cyberkriminelle hauptsächlich zum Starten von DDoS-Angriffen (Distributed Denial-of-Service) verwenden. Das Botnetz wurde erstmals in einem Sicherheitsbericht der Forscher von Securinox ans Licht gebracht. Nur einen Monat später beobachtete Fortinet jedoch neue EnemyBot-Beispiele mit erweiterten Eindringfähigkeiten, die Fehler für über ein Dutzend verschiedener Architekturen umfassten.
Die Entwickler der Malware haben seitdem nicht nachgelassen, und ein Bericht von AT&T Alien Labs zeigt, dass EnemyBot-Varianten jetzt 24 zusätzliche Schwachstellen ausnutzen können. Die neu eingebauten Sicherheitslücken können Webserver, IoT-Geräte (Internet of Things), Android-Geräte und Content-Management-Systeme betreffen.
Zu den hinzugefügten Schwachstellen gehören:
- CVE-2022-22954 – ein Fehler bei der Remotecodeausführung, der in VMware Identity Manager und VMWare Workspace ONE Access gefunden wurde.
- CVE-2022-22947 – ein Spring-Remote-Code-Ausführungsfehler, der bereits im März als Zero-Day behoben wurde.
- CVE-2022-1388 – eine Remotecodeausführung in F5 BIG-IP, die eine Geräteübernahme ermöglichen kann.
Die meisten neuen Exploits von EnemyBot werden als kritisch eingestuft, während einigen nicht einmal eine CVE-Nummer zugewiesen wurde. Dies kommt zu den zuvor enthaltenen Funktionen hinzu, wie z. B. die Nutzung des berüchtigten Log4Shell-Exploits.
EnemyBot ist jetzt auch in der Lage, eine Reverse-Shell auf den angegriffenen Systemen zu erstellen. Bei Erfolg könnten die Angreifer nun bestimmte Firewall-Einschränkungen umgehen und Zugriff auf die Zielcomputer herstellen. EnemyBot besitzt auch dedizierte Module, die nach neuen geeigneten Geräten suchen und versuchen können, diese zu infizieren.