Ein im Entstehen begriffenes Linux-basiertes Botnetz namens Enemybot hat seine Fähigkeiten erweitert und nimmt nun auch kürzlich bekannt gewordene Sicherheitslücken in sein Arsenal auf, um Webserver, Android-Geräte und Content-Management-Systeme (CMS) anzugreifen.
„Die Malware übernimmt schnell eintägige Sicherheitslücken als Teil ihrer Ausnutzungsmöglichkeiten“, so AT&T Alien Labs in einem technischen Bericht, der letzte Woche veröffentlicht wurde. „Dienste wie VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase und andere werden ebenso ins Visier genommen wie IoT- und Android-Geräte.“
Enemybot wurde zuerst im März von Securonix und später von Fortinet entdeckt und mit einem Bedrohungsakteur in Verbindung gebracht, der als Keksec (auch bekannt als Kek Security, Necro und FreakOut) bekannt ist.
Enemybot, der in der Lage ist, DDoS-Angriffe auszuführen, hat seine Ursprünge in verschiedenen anderen Botnetzen wie Mirai, Qbot, Zbot, Gafgyt und LolFMe. Eine Analyse der neuesten Variante zeigt, dass sie aus vier verschiedenen Komponenten besteht –
Einem Python-Modul, das Abhängigkeiten herunterlädt und die Malware für verschiedene Betriebssystemarchitekturen kompiliert
Der Kernbereich des Botnetzes
Ein Obfuscation-Segment, das die Strings der Malware verschlüsselt und entschlüsselt, und
Eine Command-and-Control-Funktionalität, um Angriffsbefehle zu empfangen und zusätzliche Nutzdaten abzurufen
Außerdem ist eine neue Scanner-Funktion integriert, die zufällige IP-Adressen, die mit öffentlich zugänglichen Assets verbunden sind, nach potenziellen Schwachstellen durchsucht und dabei auch neue Bugs berücksichtigt, die erst wenige Tage nach ihrer Veröffentlichung bekannt werden.
„Wenn ein Android-Gerät über USB angeschlossen ist oder ein Android-Emulator auf dem Rechner läuft, versucht EnemyBot, es zu infizieren, indem er einen Shell-Befehl ausführt“, so die Forscher und verweisen auf die neue Funktion „adb_infect“. ADB steht für Android Debug Bridge, ein Kommandozeilenprogramm, das für die Kommunikation mit einem Android-Gerät verwendet wird.
Neben den Log4Shell-Schwachstellen, die im Dezember 2021 bekannt wurden, gehören dazu auch kürzlich gepatchte Schwachstellen in Razer Sila Routern (keine CVE), VMware Workspace ONE Access (CVE-2022-22954) und F5 BIG-IP (CVE-2022-1388) sowie Schwachstellen in WordPress Plugins wie Video Synchro PDF.
Weitere waffenfähige Sicherheitslücken sind unten aufgeführt –
CVE-2022-22947 (CVSS-Score: 10.0) – Eine Code-Injection-Schwachstelle in Spring Cloud Gateway
(CVSS-Score: 10.0) – Eine Code-Injection-Schwachstelle in Spring Cloud Gateway CVE-2021-4039 (CVSS-Score: 9.8) – Eine Command-Injection-Schwachstelle in der Weboberfläche des Zyxel
CVE-2022-25075 (CVSS score: 9.8) – Eine Sicherheitslücke durch Befehlsinjektion in der Weboberfläche von Zyxel CVE-2022-25075 (CVSS score: 9.8) – Eine Sicherheitslücke durch Befehlsinjektion im drahtlosen Router TOTOLink A3000RU
(CVSS-Score: 9.8) – Eine Schwachstelle in der Befehlseingabe im drahtlosen Router TOTOLink A3000RU CVE-2021-36356 (CVSS-Score: 9.8) – Eine Schwachstelle in der Remotecodeausführung in KRAMER VIAware
(CVSS-Score: 9.8) – Eine Schwachstelle für Remotecodeausführung in KRAMER VIAware CVE-2021-35064 (CVSS-Score: 9.8) – Eine Schwachstelle für Privilegienerweiterung und Befehlsausführung in Kramer VIAWare
(CVSS-Score: 9.8) – Eine Schwachstelle in Kramer VIAWare, die eine Ausweitung der Berechtigungen und die Ausführung von Befehlen ermöglicht CVE-2020-7961 (CVSS-Score: 9.8) – Eine Schwachstelle in Liferay Portal, die die Ausführung von Remotecode ermöglicht
Darüber hinaus wurde der Quellcode des Botnetzes auf GitHub veröffentlicht, wodurch er für andere Bedrohungsakteure weithin zugänglich ist. „Ich übernehme keine Verantwortung für Schäden, die durch dieses Programm verursacht werden“, heißt es in der README-Datei des Projekts. „Es steht unter der Apache-Lizenz und wird als Kunst betrachtet.
„Keksec’s Enemybot scheint sich gerade erst zu verbreiten, aber aufgrund der schnellen Updates der Autoren hat dieses Botnetz das Potenzial, zu einer großen Bedrohung für IoT-Geräte und Webserver zu werden“, so die Forscher.
„Das deutet darauf hin, dass die Keksec-Gruppe über gute Ressourcen verfügt und die Malware so entwickelt hat, dass sie Schwachstellen ausnutzt, bevor sie gepatcht werden, und sich so schneller und weiter verbreiten kann.