Technology

VMware, F5, Log4j ditambahkan ke target serangan EnemyBot – Keamanan

AT&T memperingatkan ekspansi ke botnet malware EnemyBot yang menargetkan kerentanan yang baru ditemukan di perangkat keras F5 dan perangkat lunak VMware.

Ditemukan oleh Sekronix pada bulan Maret, target awal EnemyBot adalah berbagai varian Linux yang digunakan di perangkat IoT.

Namun, analisis yang lebih baru yang dirilis minggu lalu oleh AT&T Alien Labs menunjukkan EnemyBot meluncurkan serangan terhadap sejumlah kerentanan yang lebih baru dalam sistem manajemen konten, server web, perangkat keras F5, dan perangkat lunak VMware.

Analisis AT&T mencatat bahwa “sebagian besar fungsi EnemyBot terkait dengan kemampuan penyebaran malware, serta kemampuannya untuk memindai aset yang menghadap publik dan mencari perangkat yang rentan. “

“Namun, malware juga memiliki kemampuan DDoS dan dapat menerima perintah untuk mengunduh dan mengeksekusi kode (modul) baru dari operatornya yang memberikan fungsionalitas lebih pada malware,” tulisnya.

Ada cukup banyak daftar target dalam analisis AT&T, dengan kerentanan Log4j remote code execution (RCE) profil tinggi dari tahun lalu (CVE-2021-44228 dan CVE-2021-45046), kerentanan VMware Workspace ONE (CVE-2022 -22954) ditemukan pada bulan April, dan kerentanan REST di server pengiriman aplikasi BIG-IP F5 (CVE-2022-1388) diterbitkan pada bulan Mei.

Sembilan dari kerentanan, termasuk beberapa di plugin WordPress dan satu di Adobe ColdFusion 11 ditemukan pada bulan Februari (diuraikan di Packetstorm), tidak memiliki CVE yang ditetapkan.

Jika EnemyBot berhasil menginfeksi target, ia akan mencoba mencari host lain yang rentan untuk menginfeksi.

Server command and control (C&C)-nya juga dapat menjalankan serangkaian perintah di EnemyBot, termasuk berbagai alat DDoS, perintah shell, pembuatan shell terbalik, dan serangan TLS (ini memulai jabat tangan tanpa menutup soket).

Itu juga akan mencoba menginfeksi perangkat Android yang terhubung melalui port USB, kata AT&T.

Pada bulan April, Fortinet dan yang lainnya mengaitkan EnemyBot dengan kelompok serangan cryptomining dan DDoS yang dijuluki Keksec.

“Bonet EnemyBot meminjam kode dari bot Gafgyt dan menggunakan kembali beberapa kode dari botnet Mirai yang terkenal”, tulis Fortinet saat itu.

Posted By : pengeluaran hk hari ini 2021