新型Enemybot DDoS僵屍網路借用Mirai和Gafgyt攻擊程式碼
近日,有研究顯示,一個從事加密挖礦攻擊和分散式拒絕服務(DDoS)攻擊的威脅組織或與一個名為Enemybot的新型僵屍網路或有關,該僵屍網路自上個月以來就一直被觀察到有奴役路由器和物聯網裝置的行為。
Fortinet FortiGuard全球威脅研究與響應實驗室在本週釋出的一份報告中對Enemybot進行了描述:“該僵屍網路主要源自Gafgyt原始碼,進一步觀察後可以發現,它同時借用了Mirai原原始碼中的幾個模組。”
研究者們普遍認為,該僵屍網路出自一個名為 Keksec(又名 Kek Security、Necro 或者FreakOut)的攻擊團伙之手。其實這此之前,該團伙就已被指控與多個僵屍網路有關聯,例如 Simps、Ryuk(注意請不要與同名的勒索軟體混淆)和 Samael。不僅如此,這個團伙還被爆出曾有為了挖掘加密貨幣而對雲基礎設施攻擊和DDoS操作的歷史。
一項對惡意軟體樣本的分析表明,Enemybot僵屍網路主要攻擊Seowon Intech、D-Link和iRZ路由器,通過感染裝置增加自身的數量。該分析重點突出了Enemybot的混淆嘗試,發現它會阻礙分析程序並連線到託管在Tor匿名網路中的遠端伺服器獲取攻擊命令。
Enemybot同其他僵屍網路一樣,是結合並修改Mirai和Gafgyt原始碼的產物,其最新版本使用Mirai的scanner和bot killer模組進行掃描,隨後會終止相同裝置上競爭程序的執行。
以下是一些Enemybot僵屍網路用以感染裝置的一些n-day漏洞的資訊:
CVE-2020-17456 (CVSS評分9.8)- Seowon Intech SLC-130和SLR-120S裝置中的遠端程式碼執行漏洞。
CVE-2018-10823 (CVSS得分:8.8)- D-Link路由器中的任意程式碼執行漏洞。
CVE-2022-27226 (CVSS得分:8.8)-影響iRZ移動路由器的跨站點請求偽造問題導致遠端程式碼執行。
Fortinet FortiGuard實驗室在報告中特別指出了Enemybot與Gafgyt_tor的重疊之處,並暗示“Enemybot很可能就是Gafgyt_tor的更新版本和‘重新命名’變體。”
有意思的是,幾乎是在Fortinet FortiGuard實驗室披露Enemybot僵屍網路的同時,奇虎360網路安全研究實驗室(360 Netlab)的研究人員詳細介紹了一個名為Fodcha的DDoS僵屍網路。2022年3月29日至4月10日期間,每日報告的活躍殭屍程式 (IP)都超過1萬,累計感染總量則超過6.2萬。
通過觀察,奇虎360實驗室的研究人員發現,Fodcha 主要通過Android、GitLab (CVE-2021-22205)、Realtek Jungle SDK (CVE-2021-35394)、數字視訊錄影機MVPower、LILIN以及TOTOLINK和ZHONE的路由器中的已知漏洞進行擴散傳播。
參考來源:
http://thehackernews.com/2022/04/new-enemybot-ddos-botnet-borrows.html
- 滑鼠懸停也能中招!帶毒PPT正用來傳播Graphite惡意軟體
- 澳大利亞史上最大資料洩露事件,40%的居民資訊被洩露
- “匿名者”組織聲稱黑進了俄羅斯國防部網站
- 為防釣魚,Win11新版本在記事本、網站中輸入密碼時會發出警告
- Tomcat架構之為Bypass記憶體馬檢測鋪路(記憶體馬系列篇四)
- “羊了個羊”遭黑客攻擊,還存在安全隱患?
- 研究人員披露了 Oracle 雲基礎設施中的嚴重漏洞,現已修復
- Python 15年未修的漏洞可能影響 35萬餘個專案,速查
- JAVA程式碼審計之java反序列化
- 開原始碼庫攻擊在三年間暴漲7倍
- 五分之二美國消費者資料被盜,企業也難逃攻擊者“毒手”
- 入門學習之社會工程學
- 深陷安全事件泥潭,優步資料洩露何時休?
- 信陽師範學院曝“學信網資訊洩露”,學院:已報警,涉事學生幹部被撤職
- 無間道! "沙蟲 "組織冒充烏克蘭電信公司投放惡意軟體
- 繞過檢測之Executor記憶體馬淺析(記憶體馬系列篇五)
- 攻擊者正冒充美國政府機構騙取承包商Office賬戶
- “洩露”的咖啡!黑客出售近22萬名新加坡星巴克顧客資料
- 手搓Filter記憶體馬從構造到利用講解(記憶體馬系列篇一)
- 深入底層原始碼的Listener記憶體馬(記憶體馬系列篇三)