Новый ботнет Enemybot атакует маршрутизаторы и серверы, используя уязвимости в устройствах Seowon, D-Link и iRZ

Enemybot построен на основе исходного кода другого известного ботнета - Gafgyt, однако разработчики добавили в него модули из кода Mirai, что делает его более гибким и опасным. Для затруднения анализа и маскировки от других ботнетов Enemybot использует несколько методов обфускации строк, включая XOR-кодировку с многобайтовым ключом, однобайтовое XOR-кодирование в стиле Mirai, а также подстановочные шифры. Кроме того, его командный сервер (C2) скрыт в сети Tor, что значительно усложняет его обнаружение и нейтрализацию.

Одной из ключевых особенностей Enemybot является его способность заражать не только устройства интернета вещей (IoT), но и серверные и настольные системы, включая macOS и x64-архитектуры. Это расширяет зону поражения и увеличивает потенциальный масштаб атак. Ботнет уже был замечен в эксплуатации нескольких свежих уязвимостей, включая CVE-2022-27226 в маршрутизаторах iRZ, которая была обнародована всего за несколько дней до начала его активности. Это свидетельствует о высокой оперативности злоумышленников, которые оперативно интегрируют новые эксплойты в свой арсенал.

Среди других уязвимостей, используемых Enemybot, можно выделить CVE-2020-17456 (маршрутизаторы Seowon), CVE-2018-10823 (D-Link), CVE-2022-25075-25084 (TOTOLINK), а также критические уязвимости в Apache (CVE-2021-41773/42013) и Log4j (CVE-2021-44228/45046). Кроме того, ботнет эксплуатирует старые, но до сих пор не исправленные уязвимости в устройствах NETGEAR, Zyxel и Zhone, что делает его особенно опасным для организаций, использующих устаревшее оборудование.

Эксперты FortiGuard Labs отмечают, что Enemybot демонстрирует тенденцию к постоянному обновлению и адаптации, что характерно для современных киберугроз. Использование Tor для скрытия C2-сервера, а также применение сложных методов обфускации позволяют ботнету оставаться незамеченным в течение длительного времени. В связи с этим компаниям, использующим уязвимые устройства, рекомендуется как можно скорее установить последние обновления безопасности, а также усилить мониторинг сетевой активности для выявления подозрительных подключений.

Учитывая активность группы Keksec и их опыт в создании ботнетов, можно ожидать, что Enemybot продолжит развиваться и станет ещё более опасным инструментом для проведения масштабных DDoS-атак. Владельцам корпоративных и домашних сетей необходимо быть особенно бдительными и принимать меры по защите своих устройств от возможного заражения.

IPv4

• 198.12.116.254

Domains

• xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id.onion

URLs

• http://198.12.116.254/folder/dnsamp.txt
• http://198.12.116.254/folder/enemybotarm
• http://198.12.116.254/folder/enemybotarm5
• http://198.12.116.254/folder/enemybotarm64
• http://198.12.116.254/folder/enemybotarm7
• http://198.12.116.254/folder/enemybotbsd
• http://198.12.116.254/folder/enemybotdarwin
• http://198.12.116.254/folder/enemyboti586
• http://198.12.116.254/folder/enemyboti686
• http://198.12.116.254/folder/enemybotm68k
• http://198.12.116.254/folder/enemybotmips
• http://198.12.116.254/folder/enemybotmpsl
• http://198.12.116.254/folder/enemybotppc
• http://198.12.116.254/folder/enemybotppc-440fp
• http://198.12.116.254/folder/enemybotsh4
• http://198.12.116.254/folder/enemybotspc
• http://198.12.116.254/folder/enemybotx64
• http://198.12.116.254/folder/enemybotx86
• http://198.12.116.254/update.sh

SHA256

• 06f9083e8109685aecb2c35441932d757184f7749096c9e23aa7d8b7a6c080f8
• 2e6305521d4ac770fc661658da6736d658eef384a9aa68bc49613d2be2d23a0d
• 2ea62957b9dd8e95052d64a48626c0fa137f0fa9ca4fa53f7f1d8fe35aa38dc0
• 2ec8016e5fb8375d0cc66bc81f21c2d3f22b785eb4f8e2a02b0b5254159696f5
• 32faf178c5929510234f2d02aea39ca67ab893e18f60c1593f0c043153625e9d
• 33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367
• 373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad
• 4b2b4876ecc7d466eceb30ecbd79001af142b629200bbe61ebd45f4e63cd62ef
• 5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38
• 73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009
• 80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971
• 820703b9a28d4b46692b7bf61431dc81186a970c243182740d623817910051d1
• 93706966361922b493d816fa6ee1347c90de49b6d59fc01c033abdd6549ac8b9
• 9790f79da34a70e7fb2e07896a5ada662978473457ca5e2701bd1d1df0b9f10f
• 980fb4731a70a472699fcbee1a16e76c78c1b36ab6430b94dbe2169f8ac21340
• 9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14
• a7213ae906a008ad06020436db120a14568c41eae4335d6c76f2bbc33ee9fbcc
• a799be50ad82e6338c9e0b33d38612e6ad171872407d5d7de36022adf9b8bf63
• adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef
• b025a17de0ba05e3821444da8f8fc3d529707d6b311102db90d9f04c11577573
• b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca
• bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f
• c01156693d1d75481dc96265b41e661301102f3da4edae89338ee9c64dc57d32
• cc5a743b458bb098998693a73b6a13b9946d375c7c01ac6d37937871d6539102
• cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243
• d14df997bdf1e3fd3d18edf771376a666dd791dcac550c7dd8de0323823e1037
• e8c9452581830668941b3dca59896d339eb65cd8f21875b0e36261e5c093f7fe
• f805f22f668bd0414497ddc061e021c5b80b80c9702053d72fc809f19307073b
• fec09b614d67e8933e2c09671e042ce74b40048b5f0feed49ba81a2c18d4f473