В Fortinet проанализировали образцы нового DDoS-бота и пришли к выводу, что он создан на основе исходников Gafgyt, утекших в Сеть в 2015 году. Новобранец Enemybot объявился в середине прошлого месяца, когда начал атаковать роутеры Seowon Intech и D-Link, а также свежую уязвимость в сетевых устройствах производства «iRZ Электроника».
Анализ кода новоявленного Linux-зловреда не только установил его родство с Gafgyt, aka Bashlite, Lizkebab и Torlus, но также выявил несколько модулей, позаимствованных у Mirai. Создателем Enemybot, по всей видимости, является криминальная группа Keksec (вредонос сам об этом заявляет, проникнув на устройство) — специалист по криптоджекингу и DDoS.
Как и многие собратья, новый вредонос старается заразить как можно больше различных сетевых устройств, атакуя не только разнообразные IoT, но также десктопные и серверные платформы — BSD, Darwin, x64. Чтобы затруднить обнаружение и анализ, Enemybot использует простейшие техники обфускации и прячет свой C2-сервер в сети Tor, а от конкурентов избавляется, прибивая их процессы с помощью скопированного модуля Mirai.
Из средств самораспространения вредонос использует брутфорс со сканом портов SSH и Telnet (список комбинаций логин – пароль жестко прописан в коде), шелл-команды для Android (в тех случаях, когда утилита ADB доступна на порту 5555 из-за неправильных настроек), а также больше десятка эксплойтов.
Из последних примечательны следующие:
- CVE-2020-17456 для роутеров SLC-130 и SLR-120S производства Seowon Intech;
- CVE-2018-10823 для роутеров D-Link;
- CVE-2022-27226 для роутеров iRZ;
- CVE-2021-41773 и CVE-2021-42013 для серверов Apache;
- CVE-2021-44228 (Log4Shell) и CVE-2021-45046.
Новые боты способны по команде проводить флуд-атаки (TCP, UDP, DNS, ICMP, HTTP), атаки с отражением и усилением трафика через DNS-резолверы, а также прицельные DDoS-атаки на серверы OVH и хостеров игры Ark: Survival Evolved.