15/04/22
Специалисты ИБ-компании Fortinet обнаружили новый ботнет на базе исходного кода Mirai, получивший название Enemybot. Ботсеть набирает обороты, заражая модемы, маршрутизаторы и IoT-устройства через известные уязвимости.
Оператором Enemybot является киберпреступная группировка Keksec, специализирующаяся на криптомайнинге и DDoS-атаках. И та и другая деятельность осуществляется с помощью ботнета, заражающего IoT-устройства и использующего их вычислительную мощность.
ВмEnemybot используется обфускация строк, а его C&C-сервер спрятан за узлами Tor, поэтому картировать его и отключить в настоящее время весьма сложно.
После заражения устройства Enemybot подключается к C&C-серверу и ждет команд для выполнения. Большинство команд относятся к DDoS-атакам, но не ограничиваются ими.
Особый интерес вызывают команды, нацеленные на игру ARK: Survival Evolved и серверы OVH, поскольку могут указывать на то, что целью злоумышленников может быть вымогательство. Кроме того, команда LDSERVER позволяет им добавлять в полезную нагрузку новые URL-адреса, чтобы решать проблемы с сервером загрузки. Это интересно, поскольку большинство ботнетов на базе Mirai имеют фиксированные вшитые URL для загрузки.
Enemybot атакует различные архитектуры, начиная от распространенных x86, x64, i686, darwin, bsd, arm и arm64 и заканчивая устаревшими ppc, m68k и spc.
Что касается эксплуатируемых ботнетом уязвимостей, то они отличаются в зависимости от варианта вредоноса, но три из них используются всеми:
CVE-2020-17456 – удаленное выполнение кода в маршрутизаторах Seowon Intech SLC-130 и SLR-120S;
CVE-2018-10823 – удаленное выполнение кода в маршрутизаторах D-Link DWR;
CVE-2022-27226 – cronjob-инъекция в мобильных маршрутизаторах iRZ.
