EnemyBot, botnet berdasarkan kode dari beberapa bagian malware, memperluas jangkauannya dengan cepat menambahkan eksploitasi untuk kerentanan kritis yang baru-baru ini diungkapkan di server web, sistem manajemen konten, IoT, dan perangkat Android.
Botnet pertama kali ditemukan pada bulan Maret oleh para peneliti di Securonix dan pada bulan April, ketika analisis sampel yang lebih baru muncul dari Fortinet, EnemyBot telah mengintegrasikan kelemahan untuk lebih dari selusin arsitektur prosesor.
Tujuan utamanya adalah meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan malware juga memiliki modul untuk memindai perangkat target baru dan menginfeksinya.
Sebuah laporan baru dari AT&T Alien Labs mencatat bahwa varian terbaru dari EnemyBot menggabungkan eksploitasi untuk 24 kerentanan. Sebagian besar dari mereka kritis tetapi ada beberapa yang bahkan tidak memiliki nomor CVE, yang mempersulit para pembela HAM untuk menerapkan perlindungan.
Pada bulan April, sebagian besar kelemahan yang terkait dengan router dan perangkat IoT, dengan CVE-2022-27226 (iRZ) dan CVE-2022-25075 (TOTOLINK) menjadi salah satu yang terbaru dan Log4Shell menjadi yang paling menonjol.
Namun, varian baru yang dianalisis oleh AT&T Alien Labs menyertakan eksploitasi untuk masalah keamanan berikut:
- CVE-2022-22954: Cacat eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager. Eksploitasi PoC (bukti konsep) tersedia pada April 2022.
- CVE-2022-22947: Cacat eksekusi kode jarak jauh di Musim Semi, diperbaiki sebagai zero-day pada Maret 2022, dan ditargetkan secara besar-besaran sepanjang April 2022.
- CVE-2022-1388: Kelemahan eksekusi kode jarak jauh yang kritis (CVSS: 9.8) yang berdampak pada F5 BIG-IP, mengancam titik akhir yang rentan dengan pengambilalihan perangkat. PoC pertama muncul di alam liar pada Mei 2022, dan eksploitasi aktif segera dimulai.
Melihat daftar perintah yang didukung oleh versi malware yang lebih baru, RSHELL menonjol, digunakan untuk membuat shell terbalik pada sistem yang terinfeksi. Ini memungkinkan aktor ancaman untuk melewati batasan firewall dan mendapatkan akses ke mesin yang disusupi.
Semua perintah yang terlihat di versi sebelumnya masih ada, menawarkan daftar opsi yang kaya tentang serangan DDoS.
Keksec, grup di belakang EnemyBot, secara aktif mengembangkan malware dan memiliki proyek jahat lainnya: Tsunami, Gafgyt, DarkHTTP, DarkIRC, dan Necro.
Tampaknya ini adalah pembuat malware berpengalaman yang menunjukkan perhatian khusus pada proyek terbaru, menambahkan eksploitasi kerentanan baru segera setelah muncul, seringkali sebelum admin sistem memiliki kesempatan untuk menerapkan perbaikan.
Lebih buruk lagi, AT&T melaporkan bahwa seseorang, yang kemungkinan besar berafiliasi dengan Keksec, telah merilis kode sumber EnemyBot, membuatnya tersedia untuk semua musuh.
Rekomendasi untuk melindungi dari jenis ancaman ini termasuk menambal produk perangkat lunak segera setelah pembaruan tersedia dan memantau lalu lintas jaringan, termasuk koneksi keluar.
Saat ini, tujuan utama EnemyBot adalah serangan DDoS tetapi kemungkinan lain juga harus dipertimbangkan (misalnya cryptomining, akses), terutama karena malware sekarang menargetkan perangkat yang lebih kuat.
Sumber: Bleeping Computer
