一個被稱為 "EnemyBot" 的快速發展的物聯網惡意軟件，其攻擊目標是內容管理系統（CMS）、網絡服務器和Android設備。據研究人員稱，目前，威脅攻擊組織 "Keksec "被認為是傳播該惡意軟件的幕后推手。

他們補充說，諸如VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服務以及物聯網和安卓設備正在成為被攻擊的目標。AT&T Alien實驗室在最近的一篇文章中報告說，該惡意軟件正在迅速采用1day漏洞進行大范圍的攻擊。

根據AT&T對該惡意軟件代碼分析，EnemyBot大量使用了Mirai、Qbot和Zbot等其他僵尸網絡的攻擊代碼。Keksec集團通過針對Linux機器和其他的物聯網設備分發惡意軟件。這個威脅集團早在2016年就已成立，并且該集團包括眾多僵尸網絡攻擊者。

EnemyBot的攻擊

Alien實驗室研究小組發現，該惡意軟件主要有四個主要部分。

第一部分是一個python腳本 "cc7.py"，該工具可以用于下載依賴文件，并將惡意軟件編譯成針對不同操作系統架構（x86，ARM，macOS，OpenBSD，PowerPC，MIPS）的軟件。編譯完成后，將會創建一個名為"update.sh "的批處理文件來將惡意軟件傳播到各種易受攻擊的目標上。

第二部分是主要的僵尸網絡源代碼，除了主要部分，它包含了惡意軟件的其他所有功能，并采用了其他各種僵尸網絡的源代碼，這些工具可以結合起來進行攻擊。

第三個模塊是混淆工具"hide.c"，它可以進行手動編譯和執行，并且對惡意軟件的字符串進行編碼和解密。據研究人員稱，一個簡單的swap表可以用來隱藏字符串，并把每個字符都替換成表中的相應字符。

最后一部分包含了一個命令和控制（CC）組件，可以接收攻擊者的攻擊命令以及有效載荷。

AT&T研究人員進一步分析顯示，該軟件還有一個掃描器功能，可以掃描易受攻擊的IP地址。并且還有一個"adb_infect "功能，可以用于攻擊安卓設備。

ADB或安卓調試橋是一個命令行工具，它允許你直接與設備進行通信。

研究人員說："如果安卓設備通過USB連接，或在機器上直接運行安卓模擬器，EnemyBot將會試圖通過執行shell命令來感染它。”

研究人員補充說，Keksec的EnemyBot似乎剛剛開始傳播，然而由于作者的快速更新，這個僵尸網絡有可能成為物聯網設備和網絡服務器的主要威脅。

這個基于Linux的僵尸網絡EnemyBot是由Securonix在2022年3月首次發現的，后來Fortinet對此做了深入分析。

目前在被EnemyBot利用的漏洞

AT&T研究人員發布了一份目前在被Enemybot利用的漏洞清單，其中一些漏洞還沒有分配到CVE。

該列表包括Log4shell漏洞（CVE-2021-44228，CVE-2021-45046），F5 BIG IP設備（CVE-2022-1388）以及其他漏洞。有些漏洞還沒有分配到CVE，如PHP Scriptcase和Adobe ColdFusion 11。

Log4shell漏洞 - CVE-2021-44228, CVE-2021-45046

F5 BIG IP設備 - CVE-2022-1388

Spring Cloud Gateway - CVE-2022-22947

TOTOLink A3000RU無線路由器 - CVE-2022-25075

Kramer VIAWare - CVE-2021-35064

該研究人員解釋說，這表明Keksec集團的資源很充足，該集團開發的惡意軟件可以在漏洞被修補之前利用這些漏洞，從而提高其傳播的速度和規模。

建議采取的行動

Alien實驗室的研究人員提出了防止漏洞被攻擊利用的方法。建議用戶正確配置防火墻，并盡量減少Linux服務器和物聯網設備在互聯網上暴露的可能性。

并且建議組織監控網絡流量，掃描出站端口并尋找可疑的流量。軟件要自動更新，并打上最新的安全更新補丁。

參考及來源：https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/