31/05/22
Ботнет EnemyBot, базирующийся на фрагментах кода различных вредоносных программ, взял на вооружение эксплоиты для недавно обнаруженных уязвимостей в web-серверах, системах управления контентом, IoT- и Android-устройствах.
Ботнет был впервые обнаружен специалистами компании Securonix в марте нынешнего года, и к апрелю, когда исследователи из Fortinet опубликовали его анализ, арсенал EnemyBot уже состоял из эксплоитов боле чем для десяти архитектур процессоров.
Главным предназначением ботнета является осуществление DDoS-атак, пишут в Securitylab, кроме того, у него есть еще дополнительные модули для поиска и заражения новых устройств.
Согласно последнему отчету компании AT&T Alien Labs, последний вариант EnemyBot использует 24 эксплоита. По состоянию на апрель 2022 года, большинство эксплоитов предназначались для уязвимостей в маршрутизаторах и IoT-устройствах. Самыми последними были добавлены уязвимости CVE-2022-27226 (iRZ) и CVE-2022-25075 (TOTOLINK), а самой значительной является Log4Shell.
Новый вариант вредоноса, проанализированный специалистами AT&T Alien Labs, включает эксплоиты для следующих новых уязвимостей:
CVE-2022-22954: критическая уязвимость удаленного выполнения кода в VMware Workspace ONE Access и VMware Identity Manager (CVSS: 9,8 балла из 10). PoC-эксплоит доступен с апреля 2022 года;
CVE-2022-22947: уязвимость удаленного выполнения кода в Spring, исправленная в марте 2022 и активно эксплуатировавшаяся в апреле;
CVE-2022-1388: критическая уязвимость удаленного выполнения кода в F5 BIG-IP (CVSS: 9,8 балла из 10). Первые PoC-эксплоиты появились в мае 2022 года, и активная эксплуатация началась практически сразу.
