Een dreigingsgroep die cryptomining en gedistribueerde denial-of-service (DDoS) -aanvallen nastreeft, is gekoppeld aan een nieuw botnet genaamd Enemybot, waarvan sinds vorige maand is ontdekt dat het routers en Internet of Things (IoT)-apparaten tot slaaf maakt.
“Dit botnet is voornamelijk afgeleid van de broncode van Gafgyt, maar er is waargenomen dat het verschillende modules leent van de originele broncode van Mirai”, aldus Fortinet FortiGuard Labs. zei in een rapport van deze week.
Het botnet is toegeschreven aan een acteur genaamd Keksec (ook bekend als Kek BeveiligingNecro en FreakOut), die is gekoppeld aan meerdere botnets zoals: simps, Ryuk (niet te verwarren met de gelijknamige ransomware), en Samaëlen heeft een geschiedenis van het richten op cloudinfrastructuur om cryptomining en DDoS-operaties uit te voeren.
Voornamelijk gericht op routers van Seowon Intech, D-Link en iRZ om zijn infecties te verspreiden en in volume te groeien, een analyse van de malware-exemplaar heeft de verduisteringspogingen van Enemybot benadrukt om de analyse te belemmeren en verbinding te maken met een externe server die wordt gehost in het Tor-anonimiteitsnetwerk om aanvalsopdrachten op te halen.
Enemybot is, net als de andere botnet-malware, het resultaat van het combineren en wijzigen van de broncode van Mirai en Gafgyt, met de nieuwste versie met behulp van de eerste scanner en botkillermodules die worden gebruikt om concurrerende processen die op dezelfde apparaten worden uitgevoerd te scannen en te beëindigen.
Enkele van de n-day-kwetsbaarheden die door het botnet worden gebruikt om meer apparaten te infecteren, zijn de volgende:
- CVE-2020-17456 (CVSS-score: 9,8) – Een fout in de uitvoering van externe code in Seowon Intech SLC-130 en SLR-120S-apparaten.
- CVE-2018-10823 (CVSS-score: 8,8) – Een kwetsbaarheid voor het uitvoeren van willekeurige code in D-Link-routers
- CVE-2022-27226 (CVSS-score: 8,8) – Een cross-site verzoekvervalsing die van invloed is op iRZ Mobile Routers en leidt tot uitvoering van externe code
Fortinet wees ook op de overlappingen met Gafgyt_torwat suggereert dat “Enemybot waarschijnlijk een bijgewerkte en ‘rebranded’ variant van Gafgyt_tor is.”
De onthulling komt op het moment dat onderzoekers van Qihoo 360’s Network Security Research Lab (360 Netlab) een snel verspreidend DDoS-botnet genaamd Fodcha hebben beschreven dat meer dan 10.000 dagelijkse actieve bots heeft verstrikt, en van 29 maart tot 10 april 2022 cumulatief meer dan 62.000 unieke bots heeft besmet.
Fodcha verspreidt zich via bekende kwetsbaarheden in Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394), digitale videorecorders van MVPower, LILIN en routers van TOTOLINK en ZHONE.
