Malware EnemyBot tem como alvo servidores Web, ferramentas CMS e sistema operacional Android
O malware toma emprestado generosamente do código usado por outros botnets, como Mirai, Qbot e Zbot.
Um malware de IoT em rápida evolução apelidado de “EnemyBot” tem como alvo sistemas de gerenciamento de conteúdo (CMS), servidores da Web e dispositivos Android. Acredita-se que o grupo de atores de ameaças “Keksec” esteja por trás da distribuição do malware, de acordo com pesquisadores.
“Serviços como VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase e outros estão sendo direcionados, assim como dispositivos IoT e Android”, relatou a AT&T Alien labs em um post recente. “O malware está adotando rapidamente vulnerabilidades de um dia como parte de seus recursos de exploração”, acrescentaram.
De acordo com a análise da AT&T da base de código do malware, o EnemyBot empresta generosamente o código usado por outros botnets, como Mirai, Qbot e Zbot. O grupo Keksec distribui o malware visando máquinas Linux e dispositivos IoT, esse grupo de ameaças foi formado em 2016 e inclui vários atores de botnet.
EnemyBot funcionando
O estudo da equipe de pesquisa do laboratório Alien encontrou quatro seções principais do malware.
A primeira seção é um script python 'cc7.py', usado para baixar todas as dependências e compilar o malware em diferentes arquiteturas de SO (x86, ARM, macOS, OpenBSD, PowerPC, MIPS). Após a compilação, um arquivo em lote “update.sh” é criado e usado para espalhar o malware para alvos vulneráveis.
A segunda seção é o código-fonte principal do botnet, que inclui todas as outras funcionalidades do malware, excluindo a parte principal, e incorpora os códigos-fonte dos vários botnets que podem se combinar para realizar um ataque.
O terceiro módulo é o segmento de ofuscação “hide.c” e é compilado e executado manualmente para codificar/decodificar as strings de malware. Uma tabela de troca simples é usada para ocultar strings e “cada caractere é substituído por um caractere correspondente na tabela” de acordo com os pesquisadores.
O último segmento inclui um componente de comando e controle (CC) para receber ações vitais e cargas úteis de invasores.
A análise posterior do pesquisador da AT&T revelou uma nova função de scanner para caçar endereços IP vulneráveis e uma função “adb_infect” que é usada para atacar dispositivos Android.
ADB ou Android Debug Bridge é uma ferramenta de linha de comando que permite que você se comunique com um dispositivo.
“Caso um dispositivo Android esteja conectado via USB, ou emulador Android rodando na máquina, o EnemyBot tentará infectá-lo executando o comando shell”, disse o pesquisador.
“O EnemyBot da Keksec parece estar apenas começando a se espalhar, no entanto, devido às rápidas atualizações dos autores, esse botnet tem o potencial de se tornar uma grande ameaça para dispositivos IoT e servidores da Web”, acrescentaram os pesquisadores.
Este botnet EnemyBot baseado em Linux foi descoberto pela Securonix em março de 2022 e, posteriormente, uma análise aprofundada foi feita pela Fortinet .
Vulnerabilidades atualmente exploradas pelo EnemyBot
Os pesquisadores da AT&T divulgam uma lista de vulnerabilidades que são atualmente exploradas pelo Enemybot, algumas delas ainda não receberam um CVE.
A lista inclui a vulnerabilidade Log4shell ( CVE-2021-44228 , CVE-2021-45046 ), dispositivos F5 BIG IP ( CVE-2022-1388 ) e outros. Algumas das vulnerabilidades ainda não receberam um CVE, como PHP Scriptcase e Adobe ColdFusion 11.
Vulnerabilidade do Log4shell – CVE-2021-44228 , CVE-2021-45046
Dispositivos F5 BIG IP – CVE-2022-1388
Spring Cloud Gateway – CVE-2022-22947
Roteador sem fio TOTOLink A3000RU – CVE-2022-25075
Kramer VIAWare – CVE-2021-35064
“Isso indica que o grupo Keksec tem bons recursos e que o grupo desenvolveu o malware para aproveitar as vulnerabilidades antes de serem corrigidas, aumentando assim a velocidade e a escala em que ele pode se espalhar”, explicou o pesquisador.
Ações Recomendadas
O pesquisador do laboratório Alien sugere métodos para se proteger da exploração. Os usuários são aconselhados a usar um firewall configurado corretamente e se concentrar na redução da exposição do servidor Linux e dos dispositivos IOT à Internet.
Outra ação recomendada é monitorar o tráfego de rede, escanear as portas de saída e procurar o uso suspeito de largura de banda. O software deve ser atualizado automaticamente e corrigido com a atualização de segurança mais recente.