Một mạng botnet Linux – Enemybot mới ra đời đã mở rộng khả năng bao gồm các lỗ hổng bảo mật được tiết lộ gần đây để nhắm mục tiêu vào các máy chủ web, thiết bị Android và hệ thống quản lý nội dung (CMS).
AT&T Alien Labs cho biết: “Phần mềm độc hại đang nhanh chóng tiếp nhận các lỗ hổng trong một ngày như một phần khả năng khai thác của nó. Các dịch vụ như VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase và hơn thế nữa đang được nhắm mục tiêu cũng như các thiết bị IoT và Android.”
Enemybot được tiết lộ lần đầu tiên bởi Securonix vào tháng 3 và sau đó bởi Fortinet, đã được liên kết với một tác nhân đe dọa được theo dõi là Keksec (hay còn gọi là Kek Security, Necro và FreakOut), cùngi các cuộc tấn công gần đây nhắm vào các bộ định tuyến từ Seowon Intech, D-Link và iRZ.
Enemybot có khả năng thực hiện các cuộc tấn công DDoS, lấy nguồn gốc của nó từ một số botnet khác như Mirai, Qbot, Zbot, Gafgyt và LolFMe. Một phân tích về biến thể mới nhất cho thấy rằng nó được tạo thành từ bốn thành phần khác nhau
- Một mô-đun Python để tải xuống các phần phụ thuộc và biên dịch phần mềm độc hại cho các kiến trúc hệ điều hành khác nhau
- Phần botnet cốt lõi
- Một đoạn mã xáo trộn được thiết kế chuyên mã hóa và giải mã các chuỗi của phần mềm độc hại
- Chức năng ra lệnh và điều khiển để nhận lệnh tấn công và tải thêm trọng tải
Các nhà nghiên cứu cho biết: “Trong trường hợp thiết bị Android được kết nối qua USB hoặc trình giả lập Android đang chạy trên máy, EnemyBot sẽ cố lây nhiễm nó bằng cách thực hiện lệnh shell [a],” các nhà nghiên cứu chỉ ra một chức năng “adb_infect” mới. ADB viết tắt của Android Debug Bridge, một tiện ích dòng lệnh được sử dụng để giao tiếp với thiết bị Android.
Cũng được tích hợp là một chức năng máy quét mới được thiết kế để tìm kiếm các địa chỉ IP ngẫu nhiên được liên kết với các tài sản công khai để tìm các lỗ hổng tiềm ẩn, đồng thời tính đến các lỗi mới trong vòng những ngày chúng được tiết lộ công khai.
Bên cạnh các lỗ hổng Log4Shell xuất hiện vào tháng 12 năm 2021, điều này bao gồm các lỗ hổng đã được vá gần đây trong bộ định tuyến Razer Sila (không có CVE), VMware Workspace ONE Access (CVE-2022-22954) và F5 BIG-IP (CVE-2022-1388) cũng như những điểm yếu trong các plugin WordPress như Video Synchro PDF.
Các lỗi bảo mật có thể bị tấn công khác dưới đây:
- CVE-2022-22947 (Điểm CVSS: 10.0) – Lỗ hổng chèn mã trong Spring Cloud Gateway
- CVE-2021-4039 (điểm CVSS: 9,8) – Lỗ hổng chèn lệnh trong giao diện web của Zyxel
- CVE-2022-25075 (Điểm CVSS: 9,8) – Lỗ hổng chèn lệnh trong bộ định tuyến không dây TOTOLink A3000RU
- CVE-2021-36356 (Điểm CVSS: 9,8) – Một lỗ hổng thực thi mã từ xa trong KRAMER VIAware
- CVE-2021-35064 (Điểm CVSS: 9,8) – Lỗ hổng bảo mật và thực thi lệnh trong Kramer VIAWare
- CVE-2020-7961 (Điểm CVSS: 9,8) – Một lỗ hổng thực thi mã từ xa trong Liferay Portal
Hơn nữa, mã nguồn của botnet đã được chia sẻ trên GitHub, khiến nó trở nên phổ biến rộng rãi cho các tác nhân đe dọa khác. Tệp README của dự án ghi: “Tôi không chịu trách nhiệm về bất kỳ thiệt hại nào do chương trình này gây ra. Điều này được đăng theo giấy phép Apache và cũng được coi là nghệ thuật.”
Các nhà nghiên cứu cho biết: “Enemybot của Keksec có vẻ như mới bắt đầu lan rộng, tuy nhiên do các tác giả cập nhật nhanh chóng, mạng botnet này có khả năng trở thành mối đe dọa lớn đối với các thiết bị IoT và máy chủ web ”.
“Điều này cho thấy rằng nhóm Keksec có nguồn lực tốt và nhóm đã phát triển phần mềm độc hại để tận dụng các lỗ hổng trước khi chúng được vá, do đó làm tăng tốc độ và quy mô mà nó có thể lây lan.”
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://thehackernews.com/2022/05/enemybot-linux-botnet-now-exploits-web.html
