EnemyBot

EnemyBot ist ein bedrohliches Botnetz, das Cyberkriminelle hauptsächlich zum Starten von DDoS-Angriffen (Distributed Denial-of-Service) verwenden. Das Botnetz wurde erstmals in einem Sicherheitsbericht der Forscher von Securinox ans Licht gebracht. Nur einen Monat später beobachtete Fortinet jedoch neue EnemyBot-Beispiele mit erweiterten Eindringfähigkeiten, die Fehler für über ein Dutzend verschiedener Architekturen umfassten.

Die Entwickler der Malware haben seitdem nicht nachgelassen, und ein Bericht von AT&T Alien Labs zeigt, dass EnemyBot-Varianten jetzt 24 zusätzliche Schwachstellen ausnutzen können. Die neu eingebauten Sicherheitslücken können Webserver, IoT-Geräte (Internet of Things), Android-Geräte und Content-Management-Systeme betreffen.

Zu den hinzugefügten Schwachstellen gehören:

• CVE-2022-22954 – ein Fehler bei der Remotecodeausführung, der in VMware Identity Manager und VMWare Workspace ONE Access gefunden wurde.
• CVE-2022-22947 – ein Spring-Remote-Code-Ausführungsfehler, der bereits im März als Zero-Day behoben wurde.
• CVE-2022-1388 – eine Remotecodeausführung in F5 BIG-IP, die eine Geräteübernahme ermöglichen kann.

Die meisten neuen Exploits von EnemyBot werden als kritisch eingestuft, während einigen nicht einmal eine CVE-Nummer zugewiesen wurde. Dies kommt zu den zuvor enthaltenen Funktionen hinzu, wie z. B. die Nutzung des berüchtigten Log4Shell-Exploits.

EnemyBot ist jetzt auch in der Lage, eine Reverse-Shell auf den angegriffenen Systemen zu erstellen. Bei Erfolg könnten die Angreifer nun bestimmte Firewall-Einschränkungen umgehen und Zugriff auf die Zielcomputer herstellen. EnemyBot besitzt auch dedizierte Module, die nach neuen geeigneten Geräten suchen und versuchen können, diese zu infizieren.