Новый IoT-ботнет Enemybot на базе Mirai стремительно набирает обороты

Специалисты ИБ-компании Fortinet обнаружили новый ботнет на базе исходного кода Mirai, получивший название Enemybot. Ботсеть набирает обороты, заражая модемы, маршрутизаторы и IoT-устройства через известные уязвимости.

Оператором Enemybot является киберпреступная группировка Keksec, специализирующаяся на криптомайнинге и DDoS-атаках. И та и другая деятельность осуществляется с помощью ботнета, заражающего IoT-устройства и использующего их вычислительную мощность.

ВмEnemybot используется обфускация строк, а его C&C-сервер спрятан за узлами Tor, поэтому картировать его и отключить в настоящее время весьма сложно.

После заражения устройства Enemybot подключается к C&C-серверу и ждет команд для выполнения. Большинство команд относятся к DDoS-атакам, но не ограничиваются ими.

Особый интерес вызывают команды, нацеленные на игру ARK: Survival Evolved и серверы OVH, поскольку могут указывать на то, что целью злоумышленников может быть вымогательство. Кроме того, команда LDSERVER позволяет им добавлять в полезную нагрузку новые URL-адреса, чтобы решать проблемы с сервером загрузки. Это интересно, поскольку большинство ботнетов на базе Mirai имеют фиксированные вшитые URL для загрузки.

Enemybot атакует различные архитектуры, начиная от распространенных x86, x64, i686, darwin, bsd, arm и arm64 и заканчивая устаревшими ppc, m68k и spc.

Что касается эксплуатируемых ботнетом уязвимостей, то они отличаются в зависимости от варианта вредоноса, но три из них используются всеми:

CVE-2020-17456 – удаленное выполнение кода в маршрутизаторах Seowon Intech SLC-130 и SLR-120S;

CVE-2018-10823 – удаленное выполнение кода в маршрутизаторах D-Link DWR;

CVE-2022-27226 – cronjob-инъекция в мобильных маршрутизаторах iRZ.