Botnet berbasis Linux yang baru lahir bernama bot musuh telah memperluas kemampuannya untuk memasukkan kerentanan keamanan yang baru-baru ini diungkapkan dalam gudang senjatanya untuk menargetkan server web, perangkat Android, dan sistem manajemen konten (CMS).
“Malware dengan cepat mengadopsi kerentanan satu hari sebagai bagian dari kemampuan eksploitasinya,” kata AT&T Alien Labs dalam sebuah penulisan teknis yang diterbitkan minggu lalu. “Layanan seperti VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase, dan lainnya sedang ditargetkan serta perangkat IoT dan Android.”
Pertama kali diungkapkan oleh Securonix pada bulan Maret dan kemudian oleh Fortinet, Enemybot telah dikaitkan dengan aktor ancaman yang dilacak sebagai Keksec (alias Kek Security, Necro, dan FreakOut), dengan serangan awal yang menargetkan router dari Seowon Intech, D-Link, dan iRZ.
Enemybot, yang mampu melakukan serangan DDoS, berasal dari beberapa botnet lain seperti Mirai, Qbot, Zbot, Gafgyt, dan LolFMe. Analisis varian terbaru mengungkapkan bahwa itu terdiri dari empat komponen berbeda –
- Modul Python untuk mengunduh dependensi dan mengkompilasi malware untuk arsitektur OS yang berbeda
- Bagian inti botnet
- Segmen kebingungan yang dirancang untuk menyandikan dan mendekode string malware, dan
- Fungsionalitas perintah-dan-kontrol untuk menerima perintah serangan dan mengambil muatan tambahan
“Jika perangkat Android terhubung melalui USB, atau emulator Android yang berjalan di mesin, EnemyBot akan mencoba menginfeksinya dengan mengeksekusi [a] perintah shell,” kata para peneliti, menunjuk ke fungsi “adb_infect” baru. ADB mengacu pada Android Debug Bridge, utilitas baris perintah yang digunakan untuk berkomunikasi dengan perangkat Android.
Juga tergabung adalah fungsi pemindai baru yang direkayasa untuk mencari alamat IP acak yang terkait dengan aset yang dihadapi publik untuk kerentanan potensial, sementara juga memperhitungkan bug baru dalam beberapa hari setelah mereka diungkapkan kepada publik.
Selain kerentanan Log4Shell yang terungkap pada Desember 2021, ini termasuk kelemahan yang baru-baru ini ditambal di router Razer Sila (tanpa CVE), VMware Workspace ONE Access (CVE-2022-22954), dan F5 BIG-IP (CVE-2022-1388) serta kelemahan plugin WordPress seperti Video Synchro PDF.
Kekurangan keamanan bersenjata lainnya ada di bawah ini –
- CVE-2022-22947 (Skor CVSS: 10.0) – Kerentanan injeksi kode di Spring Cloud Gateway
- CVE-2021-4039 (Skor CVSS: 9,8) – Kerentanan injeksi perintah di antarmuka web Zyxel
- CVE-2022-25075 (Skor CVSS: 9,8) – Kerentanan injeksi perintah di router nirkabel TOTOLink A3000RU
- CVE-2021-36356 (Skor CVSS: 9,8) – Kerentanan eksekusi kode jarak jauh di KRAMER VIAware
- CVE-2021-35064 (Skor CVSS: 9,8) – Peningkatan hak istimewa dan kerentanan eksekusi perintah di Kramer VIWare
- CVE-2020-7961 (Skor CVSS: 9,8) – Kerentanan eksekusi kode jarak jauh di Portal Liferay
Terlebih lagi, kode sumber botnet telah dibagikan di GitHub, membuatnya tersedia secara luas untuk pelaku ancaman lainnya. “Saya tidak bertanggung jawab atas segala kerusakan yang disebabkan oleh program ini,” file README proyek berbunyi. “Ini diposting di bawah lisensi Apache dan juga dianggap sebagai seni.”
“Enemybot Keksec tampaknya baru mulai menyebar, namun karena pembaruan cepat penulis, botnet ini berpotensi menjadi ancaman besar bagi perangkat IoT dan server web,” kata para peneliti.
“Ini menunjukkan bahwa grup Keksec memiliki sumber daya yang baik dan bahwa grup tersebut telah mengembangkan malware untuk memanfaatkan kerentanan sebelum ditambal, sehingga meningkatkan kecepatan dan skala penyebarannya.”