近日，有研究顯示，一個(gè)從事加密挖礦攻擊和分布式拒絕服務(wù)(DDoS)攻擊的威脅組織或與一個(gè)名為Enemybot的新型僵尸網(wǎng)絡(luò)或有關(guān)，該僵尸網(wǎng)絡(luò)自上個(gè)月以來就一直被觀察到有奴役路由器和物聯(lián)網(wǎng)設(shè)備的行為。

Fortinet FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室在本周發(fā)布的一份報(bào)告中對(duì)Enemybot進(jìn)行了描述:“該僵尸網(wǎng)絡(luò)主要源自Gafgyt源代碼，進(jìn)一步觀察后可以發(fā)現(xiàn)，它同時(shí)借用了Mirai原源代碼中的幾個(gè)模塊?！?/p>

研究者們普遍認(rèn)為，該僵尸網(wǎng)絡(luò)出自一個(gè)名為 Keksec(又名 Kek Security、Necro 或者FreakOut)的攻擊團(tuán)伙之手。其實(shí)這此之前，該團(tuán)伙就已被指控與多個(gè)僵尸網(wǎng)絡(luò)有關(guān)聯(lián)，例如 Simps、Ryuk(注意請(qǐng)不要與同名的勒索軟件混淆)和 Samael。不僅如此，這個(gè)團(tuán)伙還被爆出曾有為了挖掘加密貨幣而對(duì)云基礎(chǔ)設(shè)施攻擊和DDoS操作的歷史。

一項(xiàng)對(duì)惡意軟件樣本的分析表明，Enemybot僵尸網(wǎng)絡(luò)主要攻擊Seowon Intech、D-Link和iRZ路由器，通過感染設(shè)備增加自身的數(shù)量。該分析重點(diǎn)突出了Enemybot的混淆嘗試，發(fā)現(xiàn)它會(huì)阻礙分析進(jìn)程并連接到托管在Tor匿名網(wǎng)絡(luò)中的遠(yuǎn)程服務(wù)器獲取攻擊命令。

Enemybot同其他僵尸網(wǎng)絡(luò)一樣，是結(jié)合并修改Mirai和Gafgyt源代碼的產(chǎn)物，其最新版本使用Mirai的scanner和bot killer模塊進(jìn)行掃描，隨后會(huì)終止相同設(shè)備上競(jìng)爭(zhēng)進(jìn)程的運(yùn)行。

以下是一些Enemybot僵尸網(wǎng)絡(luò)用以感染設(shè)備的一些n-day漏洞的信息：

• CVE-2020-17456 (CVSS評(píng)分9.8)- Seowon Intech SLC-130和SLR-120S設(shè)備中的遠(yuǎn)程代碼執(zhí)行漏洞。
• CVE-2018-10823 (CVSS得分:8.8)- D-Link路由器中的任意代碼執(zhí)行漏洞。
• CVE-2022-27226 (CVSS得分:8.8)-影響iRZ移動(dòng)路由器的跨站點(diǎn)請(qǐng)求偽造問題導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

Fortinet FortiGuard實(shí)驗(yàn)室在報(bào)告中特別指出了Enemybot與Gafgyt_tor的重疊之處，并暗示“Enemybot很可能就是Gafgyt_tor的更新版本和‘重新命名’變體?！?/p>

有意思的是，幾乎是在Fortinet FortiGuard實(shí)驗(yàn)室披露Enemybot僵尸網(wǎng)絡(luò)的同時(shí)，奇虎360網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室(360 Netlab)的研究人員詳細(xì)介紹了一個(gè)名為Fodcha的DDoS僵尸網(wǎng)絡(luò)。2022年3月29日至4月10日期間，每日?qǐng)?bào)告的活躍僵尸程序 (IP)都超過1萬，累計(jì)感染總量則超過6.2萬。

通過觀察，奇虎360實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，F(xiàn)odcha 主要通過Android、GitLab (CVE-2021-22205)、Realtek Jungle SDK (CVE-2021-35394)、數(shù)字視頻錄像機(jī)MVPower、LILIN以及TOTOLINK和ZHONE的路由器中的已知漏洞進(jìn)行擴(kuò)散傳播。

參考來源：https://thehackernews.com/2022/04/new-enemybot-ddos-botnet-borrows.html