首页 > 安全 > 正文

Enemybot恶意软件为目标CMS服务器和Android设备添加了新的漏洞

最后更新 :2022.05.30

Enemybot Botnet的操作员为VMware,F5 Big-IP和Android Systems中最近披露的缺陷增加了利用。

Enemybot Botnet背后的操作员正在扩大潜在目标的列表,以添加了最近披露的利用列表来自VMware,F5 Big-IP和Android的关键漏洞。

僵尸网络最初是由Fortinet于3月发现的,DDOS僵尸网络通过利用已知漏洞来针对多个路由器和网络服务器。僵尸网络针对多个架构,包括ARM,BSD,X64和X86。

研究人员将僵尸网络归因于侧重于基于DDOS的勒索的网络犯罪集团。安装威胁后,该机器人将文件丢弃在/tmp/.pwned中,其中包含一条将自己归因于keksec的消息。该消息是在较早的样本中存储为clearText的,使用多字节键用XOR操作编码的消息释放了新样本。

专家指出,恶意软件正在积极开发中。

Enemybot Botnet从Gafgyt Bot借用了代码,并从臭名昭著的Mirai Botnet中重新使用了一些代码。Gafgyt是发射大规模DDOS攻击的一种流行选择,它首次出现在2014年的威胁环境中。僵尸网络实施多种混淆技术,以避免检测到TOR网络上的C2。传播和靶向其他物联网设备的几种方法。它使用硬编码用户名/密码组合的列表来登录设备,以尝试使用弱或默认凭据访问系统。该机器人还试图运行外壳命令,以感染露出Android调试桥端口(5555)的错误配置的Android设备。

Bot的第一个版本利用了数十个已知漏洞,包括:

CVE-2020-- CVE-2020--17456影响Seowon Intech SLC-130和SLR-1220S路由器的脆弱性; CVE-2018-10823 F法律A较旧的D-Link路由器(DWR-116至1.06,DWR-512至2.02,DWR-712至2.02,DWR-912至2.02,DWR-921至2.02,DWR-111,DWR-111,DR-111至111).CVE-2022-27226)影响IRZ移动路由器; CVE-2022-25075至25084:目标Totolink路由器,以前由Beastmode Botnetcve-2021-44228/2021-45046剥削,众所周知的log4j,我们的FortChipt Psirt Psirt Psirt Psirt Psirt Psirt Psirt Psirt-20221-4117773,有更多详细信息可获得更多详细信息。:目标Zhone Routersnetgear DGN1000漏洞利用(未分配CVE):目标NetGear路由器

现在来自AT& t aelien t Alien Labs的研究人员分析了Enextembot Bot的最新变体,并发现它包括24个漏洞的利用,包括没有的问题,包括问题CVE编号。

我们还列出了当前漏洞敌人OT使用。如前所述,其中一些尚未分配CVE。陈述了AT& t外星实验室发表的报告

CVE-2021-44228,CVE-2021-45046 log4j RCE CVE-20222-1388 F5 Big IP RCE NO CVE(漏洞发表于2022-02) Liferay Portal Java unmarshalling通过JSONWS RCE NO CVE(在2022-04上发布的脆弱性(弱点) PHPScriptCase 9.7 RCE CVE-2021-4039 ZYXEL NWA NWA-1100-NH命令注射 CVE-2022-22947 Spring Cloud Gateway Code注入脆弱性] CVE-2022-22954 VMware Workspace One RCE no CVE(脆弱性发表于2022-03) WordPress Video Synchro PDF Plugin LFI dbltek goip lfi no cve(脆弱性发表于2022-03) WordPress Cab票价计算器插件LFI NO CVE(漏洞发表于2022-03) 123] CVE-2018-16763 燃料CMS 1.4.1 RCE F5 BIGIP RCE ] NO CVE(2019年发布的漏洞) Thinkphp 5.x RCE NetGear DGN1000 1.1.00.48'setup.cgi'rce TotOlink A3000RU命令注入脆弱性
CVE编号 受影响的设备
Adobe Coldfusion 11 RCE
CVE-2020-7961
no CVE(sulnobalie发表于2022-04) Razar Sila命令注射
CVE-2021-36356,CVE-2021-35064 Kramer Viaware RCE
否CVE(漏洞发表于2022-02)
Archeevo 5.0 LFI
CVE-2020-5902
NO CVE(2017年发布的脆弱性)[ 123]
CVE-2022-25075

enemybot
CVE-2015-2051

D-Link设备HNAP SOAPACTION标头命令注射脆弱性 CVE-2014-9118

] Zhome<S3.0.501 RCE

CVE-2017-18368

Zyxel P660HN未经验证的命令注射

CVE-2020-2020-17456 Seowon SLR 120 Router RCE

CVE-2018-10823 D-Link DWR命令注入各种模型 ] 机器人的新变体包括以下安全问题的利用: CVE-2022-22954 :VMware Workspace中的关键RCE缺陷一个访问和VMware Identity Manager。 CVE-2022-22947 :春季的RCE缺陷。 CVE-2022-1388 :F5 Big-IP中的关键RCE缺陷。github上的Enemybot源代码,这意味着威胁参与者可以对其进行修改以创建自己的机器人版本。 研究人员建议正确配置防火墙以保护在线暴露的设备,启用自动更新并监视网络流量。 [ Keksec的Enementbot似乎刚刚开始传播,但是由于作者的快速更新,该僵尸网络有可能成为物联网设备和网络服务器的主要威胁。恶意软件可以迅速采用一日漏洞(在发布概念证明后的几天内)。总结报告。这表明Keksec组的资源丰富,并且该组已经开发了恶意软件来利用脆弱性,从而提高了其传播的速度和规模。 ]安全事务是2022年欧洲最佳网络安全博客奖的决赛入围者之一 - 投票给您的获奖者。我请您再次为我投票(即使您已经做过),因为这项投票是为决赛投票。 请在每个类别中投票支持安全事务和Pierluigi Paganini包括它们(例如,“弱者 - 最佳个人(非商业)安全博客”和“ The Tech Whiz - BES)t技术博客”) 提名,请访问: https://docs.google.com/forms/forms/forms/forms/d/e/1faipqlsdndzjvtomsq36ykihqwwhma90sr0e9rlndflz3cu_gvi2axw/viewform

- END -

看更多