新的EnemyBot DDoS僵尸网络借用Mirai和Gafgyt的漏洞代码
发布时间:2022-07-24 15:48:31 374
相关标签: # 恶意软件# 设备# 攻击# 网络安全# 扫描

Fortinet FortiGuard实验室在本周的一份报告中表示:“该僵尸网络主要源自Gafgyt的源代码,但据观察,它借用了Mirai原始源代码中的几个模块”。
该僵尸网络由一个名为Keksec(又名Kek Security、Necro和FreakOut)的参与者创建,该参与者与Simps、Ryuk(不要与同名勒索软件混淆)和Samael等多个僵尸网络相关联,并且有针对云基础设施进行加密挖掘和DDoS操作的历史。
主要针对Seowon Intech、D-Link和iRZ的路由器,以传播其感染并增加数量,对恶意软件样本的分析突出了Enemybot的混淆企图,以阻碍分析并连接到托管在Tor匿名网络中的远程服务器以获取攻击命令。
与其他僵尸网络恶意软件一样,Enemybot是Mirai和Gafgyt的源代码结合和修改的结果,最新版本使用前者的扫描仪和bot killer模块,用于扫描和终止在相同设备上运行的竞争对手进程。

- CVE-2020-17456(CVSS评分:9.8)Seowon Intech SLC-130和SLR-120S设备中的远程代码执行缺陷。
- CVE-2018-10823
- CVE-2022-27226(CVSS得分:8.8)跨站点请求伪造问题影响iRZ移动路由器,导致远程代码执行
Fortinet还指出了其与Gafgyt\u tor的重叠之处,表示“Enemybot可能是Gafgyt\u tor的更新版和‘更名’变体”。
奇虎360网络安全研究实验室(360 Netlab)的研究人员详细介绍了一种称为Fodcha的快速传播DDoS僵尸网络,从2022年3月29日至4月10日,该网络已诱捕了10000多个每日活动的机器人,累计感染了62000多个独特的机器人。
据观察,Fodcha通过Android、GitLab(CVE-2021-22205)、Realtek Jungle SDK(CVE-2021-35394)、MVPower、LILIN的数字录像机以及TOTOLINK和ZHONE的路由器中的已知漏洞传播。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报