新型Enemybot DDoS僵屍網路借用Mirai和Gafgyt攻擊程式碼

語言: CN / TW / HK

近日,有研究顯示,一個從事加密挖礦攻擊和分散式拒絕服務(DDoS)攻擊的威脅組織或與一個名為Enemybot的新型僵屍網路或有關,該僵屍網路自上個月以來就一直被觀察到有奴役路由器和物聯網裝置的行為。

Fortinet FortiGuard全球威脅研究與響應實驗室在本週釋出的一份報告中對Enemybot進行了描述:“該僵屍網路主要源自Gafgyt原始碼,進一步觀察後可以發現,它同時借用了Mirai原原始碼中的幾個模組。”

研究者們普遍認為,該僵屍網路出自一個名為 Keksec(又名 Kek Security、Necro 或者FreakOut)的攻擊團伙之手。其實這此之前,該團伙就已被指控與多個僵屍網路有關聯,例如 Simps、Ryuk(注意請不要與同名的勒索軟體混淆)和 Samael。不僅如此,這個團伙還被爆出曾有為了挖掘加密貨幣而對雲基礎設施攻擊和DDoS操作的歷史。

一項對惡意軟體樣本的分析表明,Enemybot僵屍網路主要攻擊Seowon Intech、D-Link和iRZ路由器,通過感染裝置增加自身的數量。該分析重點突出了Enemybot的混淆嘗試,發現它會阻礙分析程序並連線到託管在Tor匿名網路中的遠端伺服器獲取攻擊命令。

Enemybot同其他僵屍網路一樣,是結合並修改Mirai和Gafgyt原始碼的產物,其最新版本使用Mirai的scanner和bot killer模組進行掃描,隨後會終止相同裝置上競爭程序的執行。

以下是一些Enemybot僵屍網路用以感染裝置的一些n-day漏洞的資訊:

CVE-2020-17456 (CVSS評分9.8)- Seowon Intech SLC-130和SLR-120S裝置中的遠端程式碼執行漏洞。

CVE-2018-10823 (CVSS得分:8.8)- D-Link路由器中的任意程式碼執行漏洞。

CVE-2022-27226 (CVSS得分:8.8)-影響iRZ移動路由器的跨站點請求偽造問題導致遠端程式碼執行。

Fortinet FortiGuard實驗室在報告中特別指出了Enemybot與Gafgyt_tor的重疊之處,並暗示“Enemybot很可能就是Gafgyt_tor的更新版本和‘重新命名’變體。”

有意思的是,幾乎是在Fortinet FortiGuard實驗室披露Enemybot僵屍網路的同時,奇虎360網路安全研究實驗室(360 Netlab)的研究人員詳細介紹了一個名為Fodcha的DDoS僵屍網路。2022年3月29日至4月10日期間,每日報告的活躍殭屍程式 (IP)都超過1萬,累計感染總量則超過6.2萬。

通過觀察,奇虎360實驗室的研究人員發現,Fodcha 主要通過Android、GitLab (CVE-2021-22205)、Realtek Jungle SDK (CVE-2021-35394)、數字視訊錄影機MVPower、LILIN以及TOTOLINK和ZHONE的路由器中的已知漏洞進行擴散傳播。

參考來源:

http://thehackernews.com/2022/04/new-enemybot-ddos-botnet-borrows.html