物联网恶意软件针对性攻击服务器和安卓系统

一个被称为 "EnemyBot" 的快速发展的物联网恶意软件，其攻击目的是内容管理体系（CMS）、网络服务器和 Android 装备。据研究职员称，现在，威胁攻击构造 "Keksec " 被以为是流传该恶意软件的幕后推手。
他们增补说，诸如 VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服务以及物联网和安卓装备正在成为被攻击的目的。AT&T Alien 实行室在近来的一篇文章中陈诉说，该恶意软件正在灵敏接纳 1day 毛病举行大范围的攻击。
根据 AT&T 对该恶意软件代码分析，EnemyBot 大量利用了 Mirai、Qbot 和 Zbot 等其他僵尸网络的攻击代码。Keksec 团体通过针对 Linux 呆板和其他的物联网装备分发恶意软件。这个威胁团体早在 2016 年就已创建，而且该团体包罗浩繁僵尸网络攻击者。
EnemyBot 的攻击
Alien 实行室研究小组发现，该恶意软件紧张有四个紧张部门。
第一部门是一个 python 脚本 "cc7.py"，该工具可以用于下载依赖文件，并将恶意软件编译成针对差别操纵体系架构（x86，ARM，macOS，OpenBSD，PowerPC，MIPS）的软件。编译完成后，将会创建一个名为 "update.sh " 的批处理处罚文件来将恶意软件流传到各种易受攻击的目的上。
第二部门是紧张的僵尸网络源代码，除了紧张部门，它包罗了恶意软件的其他全部功能，并接纳了其他各种僵尸网络的源代码，这些工具可以团结起来举行攻击。
第三个模块是肴杂工具 "hide.c"，它可以举行手动编译和实行，而且对恶意软件的字符串举行编码息争密。据研究职员称，一个简朴的 swap 表可以用来潜伏字符串，并把每个字符都更换成表中的相应字符。
末了一部门包罗了一个下令和控制（CC）组件，可以吸收攻击者的攻击下令以及有用载荷。
AT&T 研究职员进一步分析体现，该软件尚有一个扫描器功能，可以扫描易受攻击的 IP 所在。而且尚有一个 "adb_infect " 功能，可以用于攻击安卓装备。
ADB 或安卓调试桥是一个下令行工具，它答应你直接与装备举行通讯。
研究职员说：" 假如安卓装备通过 USB 毗连，或在呆板上直接运行安卓模仿器，EnemyBot 将会试图通过实行 shell 下令来感染它。"
研究职员增补说，Keksec 的 EnemyBot 好像刚刚开始流传，然而由于作者的快速更新，这个僵尸网络有大概成为物联网装备和网络服务器的紧张威胁。
这个基于 Linux 的僵尸网络 EnemyBot 是由 Securonix 在 2022 年 3 月初次发现的，厥后 Fortinet 对此做了深入分析。
现在在被 EnemyBot 利用的毛病
AT&T 研究职员发布了一份现在在被 Enemybot 利用的毛病清单，此中一些毛病还没有分配到 CVE。
该列表包罗 Log4shell 毛病（CVE-2021-44228，CVE-2021-45046），F5 BIG IP 装备（CVE-2022-1388）以及其他毛病。有些毛病还没有分配到 CVE，如 PHP Scriptcase 和 Adobe ColdFusion 11。
Log4shell 毛病 - CVE-2021-44228, CVE-2021-45046
F5 BIG IP 装备 - CVE-2022-1388
Spring Cloud Gateway - CVE-2022-22947
TOTOLink A3000RU 无线路由器 - CVE-2022-25075
Kramer VIAWare - CVE-2021-35064
该研究职员表明说，这表明 Keksec 团体的资源很富足，该团体开发的恶意软件可以在毛病被修补之前利用这些毛病，从而进步其流传的速率和规模。
发起接纳的举措
Alien 实行室的研究职员提出了防止毛病被攻击利用的方法。发起用户精确设置防火墙，并只管镌汰 Linux 服务器和物联网装备在互联网上袒露的大概性。
而且发起构造监控网络流量，扫描出站端口并探求可疑的流量。软件要自动更新，并打上最新的安全更新补丁。