EnemyBot是一個(gè)基于多個(gè)惡意軟件代碼的僵尸網(wǎng)絡(luò)，它通過(guò)迅速增加對(duì)最近披露的網(wǎng)絡(luò)服務(wù)器、內(nèi)容管理系統(tǒng)、物聯(lián)網(wǎng)和Android設(shè)備的關(guān)鍵漏洞的利用來(lái)擴(kuò)大其影響范圍。該僵尸網(wǎng)絡(luò)于3月由 Securonix 的研究人員首次發(fā)現(xiàn)，在4份對(duì)Fortinet的新樣本進(jìn)行分析時(shí)，發(fā)現(xiàn)EnemyBot已經(jīng)集成了十幾種處理器架構(gòu)的漏洞。它的主要目的是發(fā)起分布式拒絕服務(wù) (DDoS) 攻擊，同時(shí)還具有掃描新目標(biāo)設(shè)備并感染它們的模塊。

AT&T Alien Labs的一份新報(bào)告指出，EnemyBot的最新變體包含24個(gè)漏洞利用。其中大多數(shù)都很關(guān)鍵，有幾個(gè)甚至沒有CVE編號(hào)，這使得防御者更難以實(shí)施保護(hù)。4月份的多數(shù)漏洞與路由器和物聯(lián)網(wǎng)設(shè)備有關(guān)，其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞，而Log4Shell是最引人注目的。然而，AT&T Alien Labs 分析的一個(gè)新變種包括針對(duì)以下安全問(wèn)題的漏洞利用：

• CVE-2022-22954：影響VMware Workspace ONE Access和VMware Identity Manager的嚴(yán)重 (CVSS: 9.8) 遠(yuǎn)程代碼執(zhí)行漏洞。PoC漏洞利用于2022年4月提供。
• CVE-2022-22947：Spring中的遠(yuǎn)程代碼執(zhí)行漏洞，在 2022年3月修復(fù)為零日漏洞，并在 2022 年4月成為大規(guī)模攻擊目標(biāo)。
• CVE-2022-1388 ：影響F5 BIG-IP的嚴(yán)重 (CVSS: 9.8) 遠(yuǎn)程代碼執(zhí)行漏洞，通過(guò)設(shè)備接管威脅易受攻擊的端點(diǎn)。第一個(gè)PoC于2022年5月在野外出現(xiàn)，并且?guī)缀趿⒓淳烷_始被積極利用。

通過(guò)查看較新版本的惡意軟件支持的命令列表，RSHELL脫穎而出，它被用于在受感染的系統(tǒng)上創(chuàng)建反向shell，這允許威脅參與者繞過(guò)防火墻限制并訪問(wèn)受感染的機(jī)器。而以前版本中看到的所有命令仍然存在，且提供了有關(guān) DDoS 攻擊的豐富選項(xiàng)列表。

EnemyBot背后的組織Keksec正在積極開發(fā)該惡意軟件，并擁有其他惡意項(xiàng)目：Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。這似乎是一位經(jīng)驗(yàn)豐富的惡意軟件作者，他對(duì)最新項(xiàng)目表現(xiàn)出特別的關(guān)注，一旦出現(xiàn)新的漏洞利用，通常會(huì)在系統(tǒng)管理員有機(jī)會(huì)應(yīng)用修復(fù)之前添加。更糟糕的是，AT&T 報(bào)告稱，可能與 Keksec 有密切關(guān)聯(lián)的人已經(jīng)發(fā)布了 EnemyBot 源代碼，這就導(dǎo)致任何對(duì)手都可以使用它。

防范此類威脅的建議包括在更新可用時(shí)立即修補(bǔ)軟件產(chǎn)品并監(jiān)控網(wǎng)絡(luò)流量，包括出站連接。目前，EnemyBot 的主要目的是 DDoS 攻擊，但也需要考慮其他可能性（例如加密、訪問(wèn)），特別是因?yàn)閻阂廛浖F(xiàn)在針對(duì)更強(qiáng)大的設(shè)備。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/