内容摘要：一个被称为 "EnemyBot" 的快速发展的物联网恶意软件，其攻击目标是内容管理系统(CMS)、网络服务器和Android设备。据研究人员称，目前，威胁攻击组织 "Keksec "被认为是传播该恶意

一个被称为 "EnemyBot" 的物联网恶快速发展的物联网恶意软件 ，其攻击目标是意软内容管理系统(CMS) 、网络服务器和Android设备。对性据研究人员称，攻击目前，服务威胁攻击组织 "Keksec "被认为是器和传播该恶意软件的幕后推手
。

他们补充说，安卓诸如VMware Workspace ONE、系统Adobe ColdFusion、物联网恶WordPress 、意软PHP Scriptcase等服务以及物联网和安卓设备正在成为被攻击的对性目标。源码下载AT&T Alien实验室在最近的攻击一篇文章中报告说，该恶意软件正在迅速采用1day漏洞进行大范围的服务攻击。

根据AT&T对该恶意软件代码分析 ，器和EnemyBot大量使用了Mirai 、安卓Qbot和Zbot等其他僵尸网络的攻击代码。Keksec集团通过针对Linux机器和其他的物联网设备分发恶意软件。这个威胁集团早在2016年就已成立 ，并且该集团包括众多僵尸网络攻击者。

EnemyBot的攻击

Alien实验室研究小组发现 ，该恶意软件主要有四个主要部分。

第一部分是模板下载一个python脚本 "cc7.py" ，该工具可以用于下载依赖文件，并将恶意软件编译成针对不同操作系统架构(x86  ，ARM ，macOS，OpenBSD，PowerPC ，MIPS)的软件 。编译完成后
 ，将会创建一个名为"update.sh "的批处理文件来将恶意软件传播到各种易受攻击的目标上。

第二部分是主要的僵尸网络源代码，源码库除了主要部分
，它包含了恶意软件的其他所有功能，并采用了其他各种僵尸网络的源代码，这些工具可以结合起来进行攻击。

第三个模块是混淆工具"hide.c" ，它可以进行手动编译和执行 ，并且对恶意软件的字符串进行编码和解密。据研究人员称 ，一个简单的swap表可以用来隐藏字符串 ，并把每个字符都替换成表中的相应字符 。亿华云

最后一部分包含了一个命令和控制(CC)组件，可以接收攻击者的攻击命令以及有效载荷 。

AT&T研究人员进一步分析显示，该软件还有一个扫描器功能，可以扫描易受攻击的IP地址 。并且还有一个"adb_infect "功能
，可以用于攻击安卓设备  。

ADB或安卓调试桥是一个命令行工具 ，它允许你直接与设备进行通信。

研究人员说："如果安卓设备通过USB连接，或在机器上直接运行安卓模拟器，EnemyBot将会试图通过执行shell命令来感染它。”

研究人员补充说
，香港云服务器Keksec的EnemyBot似乎刚刚开始传播 ，然而由于作者的快速更新，这个僵尸网络有可能成为物联网设备和网络服务器的主要威胁
。

这个基于Linux的僵尸网络EnemyBot是由Securonix在2022年3月首次发现的
，后来Fortinet对此做了深入分析
。

目前在被EnemyBot利用的漏洞

AT&T研究人员发布了一份目前在被Enemybot利用的漏洞清单，其中一些漏洞还没有分配到CVE
。

该列表包括Log4shell漏洞(CVE-2021-44228
，云计算CVE-2021-45046)，F5 BIG IP设备(CVE-2022-1388)以及其他漏洞。有些漏洞还没有分配到CVE，如PHP Scriptcase和Adobe ColdFusion 11
。

Log4shell漏洞 - CVE-2021-44228, CVE-2021-45046。

F5 BIG IP设备 - CVE-2022-1388
 。

Spring Cloud Gateway - CVE-2022-22947 。

TOTOLink A3000RU无线路由器 - CVE-2022-25075。

Kramer VIAWare - CVE-2021-35064。

该研究人员解释说 ，这表明Keksec集团的资源很充足 ，该集团开发的恶意软件可以在漏洞被修补之前利用这些漏洞，从而提高其传播的速度和规模。

建议采取的行动

Alien实验室的研究人员提出了防止漏洞被攻击利用的方法。建议用户正确配置防火墙
，并尽量减少Linux服务器和物联网设备在互联网上暴露的可能性。

并且建议组织监控网络流量，扫描出站端口并寻找可疑的流量。软件要自动更新 ，并打上最新的安全更新补丁 。

本文翻译自 ：https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/如若转载，请注明原文地址 。