มัลแวร์ EnemyBot เพิ่มวิธีการโจมตีโดยใช้ช่องโหว่ระดับ Critical บน VMware และ F5 BIG-IP

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายตัว โดยปัจจุบันกำลังขยายการโจมตีโดยใช้ช่องโหว่ความรุนแรงระดับ Critical บน Web servers, CMS, IoT และอุปกรณ์ Android

บ็อตเน็ตถูกพบครั้งแรกในเดือนมีนาคมโดยนักวิจัยจาก Securonix และในเดือนเมษายนเมื่อมีการวิเคราะห์ตัวอย่างตัวใหม่ที่ตรวจพบจากทาง Fortinet พบว่ามัลแวร์ EnemyBot ได้รวมช่องโหว่ต่างๆของ Processor architectures ไว้เป็นจำนวนมาก ซึ่งวัตถุประสงค์หลักของมัลแวร์คือการโจมตีแบบ distributed denial-of-service (DDoS) และมัลแวร์ยังมีโมดูลสำหรับการสแกนหาอุปกรณ์เป้าหมาย และการแพร่กระจายมัลแวร์

EnemyBot เวอร์ชันใหม่

จากรายงานใหม่ของ AT&T Alien Labs ระบุว่ามัลแวร์ EnemyBot เวอร์ชันล่าสุดมีการรวมเอาช่องโหว่กว่า 24 รายการ ซึ่งส่วนใหญ่มีระดับความรุนแรง Critical แต่มีหลายช่องโหว่ที่ยังไม่มีหมายเลข CVE ซึ่งทำให้ผู้ดูแลระบบป้องกันได้ยากขึ้น

เมื่อเดือนเมษายน ช่องโหว่ส่วนใหญ่จะเกี่ยวข้องกับ Router และอุปกรณ์ IoT โดยมีหมายเลขช่องโหว่เป็น CVE-2022-27226 (iRZ) และ CVE-2022-25075 (TOTOLINK) ซึ่งเป็นช่องโหว่ล่าสุด และส่วนใหญ่จะเป็นช่องโหว่เกี่ยวกับ Log4Shell

โดยเวอร์ชันใหม่ที่ถูกวิเคราะห์โดย AT&T Alien Labs ได้รวมข้อมูลช่องโหว่ที่ตัวมัลแวร์จะใช้ในการโจมตีไว้ดังต่อไปนี้:

CVE-2022-22954: Critical (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมี PoC (proof of concept) exploit ที่มีการเผยแพร่ในเดือนเมษายน พ.ศ. 2565
CVE-2022-22947: ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Spring โดยเป็นช่องโหว่ Zero-day ที่มีการแก้ไขในเดือนมีนาคม 2022 และเดือนเมษายน 2022
CVE-2022-1388: Critical (CVSS: 9.8) ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบต่อ F5 BIG-IP ซึ่งมี PoC ออกมาในช่วงเดือนพฤษภาคม พ.ศ. 2565 และได้ถูกนำมาใช้ในการโจมตีทันที

กลุ่ม Keksec ที่อยู่เบื้องหลังมัลแวร์ EnemyBot กำลังพัฒนามัลแวร์ และมีโปรเจ็กต์ที่เกี่ยวกับการโจมตีอื่น ๆ เช่น: Tsunami, Gafgyt, DarkHTTP, DarkIRC และ Necro และดูเหมือนว่ากลุ่มดังกล่าวจะมีนักพัฒนามัลแวร์ที่มีประสบการณ์ ซึ่งมีความมุ่งมั่นเป็นพิเศษสำหรับโปรเจ็กต์ใหม่ๆ โดยมีการเพิ่มการโจมตีโดยใช้ช่องโหว่ใหม่ๆ หลังจากที่มีการเผยแพร่ในทันที ซึ่งทำให้กลุ่มดังกล่าวสามารถนำช่องโหว่มาใช้ในการโจมตีได้ก่อนที่ผู้ดูแลระบบจะทำการแก้ไข

คำแนะนำในการป้องกัน

อัปเดตแพตช์ผลิตภัณฑ์ และซอฟต์แวร์ทันทีที่มีการอัปเดต และควรตรวจสอบการรับส่งข้อมูลภายใน และภายนอกเครือข่ายอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

 

 

Read more