Eine Bedrohungsgruppe, die Krypto-Mining und DDoS-Angriffe (Distributed Denial-of-Service) betreibt, wurde mit einem neuen Botnetz namens Enemybot in Verbindung gebracht, das seit letztem Monat Router und IoT-Geräte (Internet of Things) versklavt.
„Dieses Botnetz stammt hauptsächlich aus dem Quellcode von Gafgyt, aber es wurde beobachtet, dass es einige Module aus dem ursprünglichen Quellcode von Mirai entlehnt“, so Fortinet FortiGuard Labs in einem Bericht diese Woche.
Das Botnetz wird einem Akteur namens Keksec (auch bekannt als Kek Security, Necro und FreakOut) zugeschrieben, der mit mehreren Botnetzen wie Simps, Ryuk (nicht zu verwechseln mit der gleichnamigen Ransomware) und Samael in Verbindung gebracht wird und in der Vergangenheit immer wieder Cloud-Infrastrukturen angriff, um Krypto-Mining und DDoS-Aktionen durchzuführen.
Eine Analyse des Malware-Exemplars hat gezeigt, dass Enemybot versucht, die Analyse zu erschweren und sich mit einem Remote-Server zu verbinden, der im anonymen Tor-Netzwerk gehostet wird, um Angriffsbefehle abzurufen.
Enemybot ist wie die anderen Botnet-Schädlinge das Ergebnis einer Kombination und Modifizierung des Quellcodes von Mirai und Gafgyt, wobei die neueste Version die Scanner- und Bot-Killer-Module von Mirai nutzt, um konkurrierende Prozesse, die auf denselben Geräten laufen, zu scannen und zu beenden.
Einige der n-Day-Schwachstellen, die das Botnetz nutzt, um mehr Geräte zu infizieren, sind folgende
CVE-2020-17456 (CVSS-Score: 9.8) – Eine Schwachstelle in Seowon Intech SLC-130 und SLR-120S Geräten, über die Remotecode ausgeführt werden kann.
CVE-2020-17456 (CVSS-Score: 9.8) – Eine Schwachstelle bei der Remotecodeausführung in Seowon Intech SLC-130 und SLR-120S Geräten. CVE-2018-10823 (CVSS-Score: 8.8) – Eine Schwachstelle bei der Ausführung von beliebigem Code in D-Link-Routern
CVE-2022-27226 (CVSS-Score: 8.8) – Eine Schwachstelle in D-Link-Routern, die die Ausführung von beliebigem Code ermöglicht CVE-2022-27226 (CVSS-Score: 8.8) – Ein Cross-Site-Request-Forgery-Problem, das iRZ Mobile Router betrifft und die Ausführung von entferntem Code ermöglicht
Fortinet wies auch auf die Überschneidungen mit Gafgyt_tor hin und vermutete, dass „Enemybot wahrscheinlich eine aktualisierte und umbenannte Variante von Gafgyt_tor ist“.
Die Enthüllung kommt zu einem Zeitpunkt, an dem Forscher des Network Security Research Lab (360 Netlab) von Qihoo 360 ein sich schnell ausbreitendes DDoS-Botnetz namens Fodcha entdeckten, das mehr als 10.000 täglich aktive Bots umgarnt und vom 29. März bis zum 10. April 2022 insgesamt über 62.000 einzelne Bots infiziert hat.
Fodcha hat sich über bekannte Schwachstellen in Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394), digitalen Videorekordern von MVPower, LILIN und Routern von TOTOLINK und ZHONE verbreitet.