EnemyBot, web sunucularında, içerik yönetim sistemlerinde, IoT’de ve Android cihazlarda yakın zamanda açıklanan kritik güvenlik açıkları üzerinden saldırılarını genişltiyor. Botnet ilk olarak Mart ayında Securonix’teki araştırmacılar tarafından keşfedildi. Saldırıların amacı, hizmet reddi (DDoS) saldırıları başlatmak ve kötü amaçlı yazılımlarını dağıtmak.
AT&T Alien Labs’tan yeni bir rapor, EnemyBot’un en son varyantlarının 24 güvenlik açığından yararlandığını belirtiyor. Çoğu kritik ancak bir CVE numarasına bile sahip olmayan birkaç tane var.
Ancak AT&T Alien Labs tarafından yeni bir analiz saldırganların aşağıdaki güvenlik açıklarına yöneldiğini gösteriyor.
- CVE-2022-22954: Critical (CVSS: 9.8) remote code execution flaw impacting VMware Workspace ONE Access and VMware Identity Manager. PoC (proof of concept) exploit was made available in April 2022.
- CVE-2022-22947: Remote code execution flaw in Spring, fixed as zero-day in March 2022, and massively targeted throughout April 2022.
- CVE-2022-1388: Critical (CVSS: 9.8) remote code execution flaw impacting F5 BIG-IP, threatening vulnerable endpoints with device takeover. The first PoCs appeared in the wild in May 2022, and active exploitation began almost immediately.
EnemyBot’un arkasındaki grup olan Keksec, kötü amaçlı yazılımları aktif olarak geliştiriyor. Bunlara örnek vermek gerekirse Tsunami, Gafgyt, DarkHTTP, DarkIRC ve Necro gibi projeler bulunuyor. Saldırganlar incelendiğinde, zafiyetli ürünler için güncelleme çıktığında yeni zafiyetlerden yararlanmaya başlıyorlar ve yeni zafiyetler için güncelleme fırsatı bırakmıyorlar. İşin daha kötüsü, EnemyBot kaynak kodunun yakın zamanda yayınlayarak public ortamda kullanılmasını sağlamak istiyorlar.
Kaynak: bleepingcomputer.com