امنیت

فناوری اطلاعات

May 31, 2022
21:06 سه شنبه، 10ام خردادماه 1401
کد خبر: 136284

ظهور بات‌نت خطرناکی به نام ENEMYBOT

یک بات‌نت جدید مبتنی بر #‫لینوکس به نام Enemybot قابلیت‌های خود را گسترش داده است تا با سوءاستفاده از آسیب‌پذیری‌های امنیتی اخیراً فاش شده، سرورهای وب، دستگاه‌های اندروید و سیستم‌های مدیریت محتوا ( CMS) را مورد هدف قرار دهد.
AT&T Alien Labs در گزارشی فنی که هفته گذشته منتشر شد، اذعان داشت این بدافزار به سرعت در حال استفاده از آسیب‌پذیری‌های یک روزه به عنوان بخشی از قابلیت‌های بهره‌برداری خود است. Enemybot اولین بار در ماه مارس توسط Securonix و بعداً توسط Fortinet فاش شد، این بات‌نت به یک عامل تهدید با نام Keksec (معروف به Kek Security، Necro و FreakOut) مرتبط است که با حملات اولیه خود، روترهای Seowon Intech، D-Link و iRZ را مورد هدف قرار می‌دهد. Enemybot که قادر به انجام حملات DDoS است، منشأ خود را از چندین بات‌نت دیگر مانند Mirai، Qbot، Zbot، Gafgyt و LolFMe می‌گیرد. بر اساس آخرین تجزیه و تحلیلها، این بات‌نت از چهار جزء مختلف تشکیل شده است:
 
ماژول پایتون برای دانلود وابستگی‌ها و کامپایل بدافزار در معماری‌های مختلف سیستم‌عامل
بخش هسته‌ی بات‌نت
بخش مبهم طراحی شده برای رمزگذاری و رمزگشایی رشته‌های بدافزار
بخش کنترل و فرمان برای دریافت دستورات حمله و واکشی پی‌لودهای اضافی
همچنین در این بات‌نت یک تابع اسکنر جدید گنجانده شده است که برای جستجوی آدرس‌های IP تصادفی که با منابع عمومی آسیب‌پذیری‌های احتمالی مرتبط هستند، مهندسی شده است. محققان با اشاره به عملکرد تابع جدید «adb_infect» در Enemybot، افزودند: در صورتی که دستگاه اندرویدی از طریق USB متصل باشد یا در صورت اجرای شبیه‌ساز اندرویدی بر روی دستگاه، EnemyBot سعی می‌کند با استفاده از یک دستور shell، آن را آلوده کند. در تصاویر زیر، جزئیات مربوطه به این بات‌نت منتشر شده است.
علاوه بر آسیب‌پذیری‌های Log4Shell که در دسامبر 2021 آشکار شد، آسیب‌پذیری‌های مورد سوءاستفاده در این بات‌نت شامل نقص‌هایی در روترهای Razer Sila (بدون CVE)، VMware Workspace ONE Access با شناسه " CVE-2022-2295" و F5 BIG-IP با شناسه "CVE-2022-1388" و همچنین نقص‌هایی در افزونه‌های وردپرس مانند Video Synchro PDF است که اخیراً وصله شده‌اند.
 
در جدول زیر به سایر آسیب‌پذیری‌های مورد استفاده اشاره می‌گردد:
544-6295f4c3659f0.png
545-6295f4d2a3138.jpg
123.PNG
علاوه براین‌ها، کد منبع بات نت در GitHub به اشتراک گذاشته شده است و به طور گسترده در دسترس سایر مهاجمان قرار دارد. در فایل README پروژه آمده است:" هیچ مسئولیتی در قبال آسیب‌های ناشی از این برنامه پذیرفته نمی‌شود". به گفته محققان: به نظر می‌رسد Keksec’s Enemybot در حال گسترش است اما به دلیل بروزرسانی سریع توسط عوامل آن، این بات‌نت پتانسیل آن را دارد که به یک تهدید بزرگ برای دستگاه‌های اینترنت اشیا و سرورهای وب تبدیل شود. این موضوع نشان می‌دهد که گروه Keksec از منابع خوبی برخوردار است و بدافزاری را توسعه داده است تا از آسیب‌پذیر‌ی‌ها قبل از وصله شدنشان استفاده کند، بنابراین سرعت و مقیاس گسترش آن افزایش می‌یابد.
547-6295f6cb26482.png
سرویس‌هایی مانند VMware Workspace ONE، Adobe ColdFusion، WordPress، PHP Scriptcase و موارد دیگر و همچنین دستگاه‌های IoT و Android مورد هدف این بات‌نت قرار گرفته‌اند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.