返回

新的EnemyBot DDoS僵尸网络借用Mirai和Gafgyt的漏洞代码

发布时间:2022-07-24 15:48:31 374
# 恶意软件# 设备# 攻击# 网络安全# 扫描

Fortinet FortiGuard实验室在本周的一份报告中表示:“该僵尸网络主要源自Gafgyt的源代码,但据观察,它借用了Mirai原始源代码中的几个模块”。

该僵尸网络由一个名为Keksec(又名Kek Security、Necro和FreakOut)的参与者创建,该参与者与Simps、Ryuk(不要与同名勒索软件混淆)和Samael等多个僵尸网络相关联,并且有针对云基础设施进行加密挖掘和DDoS操作的历史。

主要针对Seowon Intech、D-Link和iRZ的路由器,以传播其感染并增加数量,对恶意软件样本的分析突出了Enemybot的混淆企图,以阻碍分析并连接到托管在Tor匿名网络中的远程服务器以获取攻击命令。

与其他僵尸网络恶意软件一样,Enemybot是Mirai和Gafgyt的源代码结合和修改的结果,最新版本使用前者的扫描仪和bot killer模块,用于扫描和终止在相同设备上运行的竞争对手进程。

EnemyBot DDoS Botnet

 

  • CVE-2020-17456(CVSS评分:9.8)Seowon Intech SLC-130和SLR-120S设备中的远程代码执行缺陷。
  • CVE-2018-10823
  • CVE-2022-27226(CVSS得分:8.8)跨站点请求伪造问题影响iRZ移动路由器,导致远程代码执行

Fortinet还指出了其与Gafgyt\u tor的重叠之处,表示“Enemybot可能是Gafgyt\u tor的更新版和‘更名’变体”。

奇虎360网络安全研究实验室(360 Netlab)的研究人员详细介绍了一种称为Fodcha的快速传播DDoS僵尸网络,从2022年3月29日至4月10日,该网络已诱捕了10000多个每日活动的机器人,累计感染了62000多个独特的机器人。

据观察,Fodcha通过Android、GitLab(CVE-2021-22205)、Realtek Jungle SDK(CVE-2021-35394)、MVPower、LILIN的数字录像机以及TOTOLINK和ZHONE的路由器中的已知漏洞传播。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线