EnemyBot richt zich op CMS-servers en mobiele apparaten

Onderzoekers van AT&T Alien Labs hebben een nieuw botnet uitgezocht met de naam EnemyBot. De malware is naar verluidt ontwikkeld en gebruikt door de dreigingsactor met de naam Keksec, ook wel bekend als Kek Security en Freakout.

Volgens het nieuwe onderzoek wordt het botnet in hoog tempo geüpgraded en uitgebreid met nieuwe functionaliteit. EnemyBot streeft er nu naar een breed scala aan apparaten en systemen te besmetten, waaronder Internet of Things-eenheden, contentmanagementsysteemservers en mobiele apparaten met Android.

Een deel van de uitbreiding en nieuw toegevoegde mogelijkheden van EnemyBot omvat het exploiteren van een aantal nieuw ontdekte kwetsbaarheden. EnemyBot zelf is een beetje een Frankenstein-monster en haalt stukjes code en functionaliteit uit een aantal andere beruchte botnets, zoals Mirai en Qbot. Om het nog erger te maken, zijn de nieuwste versies van de broncode van EnemyBot op GitHub geplaatst en zijn ze beschikbaar voor elke dreigingsactor die het wil proberen.

Keksec, de dreigingsactor achter EnemyBot, heeft een rijke ervaring met het gebruik van botnet-malware. Er wordt aangenomen dat Keksec eerder botnet-malware heeft ontwikkeld die gericht was op zowel Linux- als Windows-systemen, evenals een op Python gebaseerd dual-system botnet.

Een van de nieuwe mogelijkheden van de malware is de exploitatie van de beruchte Log4j-kwetsbaarheid en een handvol andere beveiligingsfouten die de afgelopen maanden zijn ontdekt.