EnemyBot tar sikte på CMS-servere og mobile enheter

Forskere med AT&T Alien Labs har plukket fra hverandre et nytt botnett kalt EnemyBot. Skadevaren er angivelig utviklet og brukt av trusselaktøren som går under navnet Keksec, også kjent som Kek Security og Freakout.

I følge den nye forskningen blir botnettet raskt oppgradert og utvidet med ny funksjonalitet. EnemyBot har nå som mål å infisere et bredt spekter av enheter og systemer, inkludert Internet of Things-enheter, innholdsstyringssystemservere og mobile enheter som kjører Android.

En del av EnemyBots utvidelse og nylig tilførte funksjoner inkluderer utnyttelse av en rekke nylig oppdagede sårbarheter. EnemyBot i seg selv er litt av et Frankenstein-monster, og henter deler av koden og funksjonaliteten fra en rekke andre beryktede botnett, som Mirai og Qbot. For å gjøre vondt verre, har de nyeste versjonene av EnemyBots kildekode blitt lagt ut på GitHub og er tilgjengelige for enhver trusselaktør som ønsker å prøve det.

Keksec, trusselaktøren bak EnemyBot, har rik tidligere erfaring med å operere botnett-skadevare. Det antas at Keksec tidligere har utviklet skadelig programvare for botnettverk som målrettet både Linux- og Windows-systemer, samt et Python-basert botnett med to systemer.

Blant de nye egenskapene til skadevare er utnyttelsen av den beryktede Log4j-sårbarheten og en håndfull andre sikkerhetsfeil oppdaget i løpet av de siste par månedene.