EnemyBotマルウェア検出:IoTボットネットがさらに多くのバグを悪用

[post-views]
6月 02, 2022 · 6 分で読めます
EnemyBotマルウェア検出:IoTボットネットがさらに多くのバグを悪用

高度なEnemyBotボットネットの背後にいる脅威アクター、Keksec(別名NeroおよびFreakout)は、より多くのエクスプロイトを活用し、業界の垣根を越えて複数の組織を侵害することでその影響範囲を拡大しています。EnemyBotマルウェアの作成者は、Gafgytや Qbot、または Mirai.

などの他のボットネットで使用されている古いコードを除いて最高のものを取り入れました。現在、このボットネットはVMware、 D-Link、, Adobe、, Zyxel、, およびなどの製品におけるセキュリティホールを武器化し、ウェブおよびCMSサーバー、Androidおよび などの製品におけるセキュリティホールを武器化し、ウェブおよびCMSサーバー、AndroidおよびIoTデバイス の脆弱性を活用しています。対抗者は、欠陥を活用して侵害されたネットワーク内部で横移動し、より深く入り込み、更に分散型サービス妨害(DDoS)攻撃も開始します。このマルウェアの攻撃能力の傘下に、新しい1日の脆弱性が迅速に組み込まれます。EnemyBotマルウェアの検出

新たにSOC Prime PlatformのThreat Detection MarketplaceにリリースされたSigmaルールで、EnemyBotマルウェアに関連する悪意のある行動を検出します。この検出部分は、我々のトップクラスのThreat Bounty開発者である

が提供しています。 が提供しています。:

EnemyBotの疑わしいツール転送(file_event経由)

このルールは、最新のMITRE ATT&CK®フレームワークv.10に合わせられており、主な技術としてIngress Tool Transfer(T1105)を使用したコマンド&コントロールの戦術に対応しています。

まだプラットフォームに登録していないが、当社の脅威検出コンテンツを試したい場合、サイバー脅威の検索エンジンで利用可能なものを確認してください。関連する脅威コンテキストおよびCTIとMITRE ATT&CKのリファレンスを含む、豊富なSigmaルールのコレクションを今すぐ無料でブラウズします。 詳細検索エンジンに跳び込む ボタンを押して、手間なくより良い検出を達成してください。

認証済みのユーザーは、185K以上の検出アルゴリズムと25以上の業界をリードするSIEM、EDR、およびXDRソリューションに合わせられた脅威ハンティングクエリにアクセスできます。 SOC Prime Platformでの表示 ボタンを押して、セキュリティのデータをより効率的かつ敏捷に検索するためのSigmaおよびYARAルールの広範なライブラリにアクセスしてください。

SOC Prime Platformでの表示 詳細検索エンジンに跳び込む

EnemyBotマルウェア分析

EnemyBot攻撃は、2022年春の初頭にセキュリティ研究者のレーダーにキャッチされました。 Securonix のアナリストが2022年3月にこの新しいLinuxベースのボットネットを初めて文書化した後、 Fortinet and AT&T による急速なボットネットの進化に関する報告が続きました。このボットネットは、2016年から脅威の範囲で活動しているケクセックグループによって開発されました。今日、EnebyBotの運営者は悪名高い による急速なボットネットの進化に関する報告が続きました。このボットネットは、2016年から脅威の範囲で活動しているケクセックグループによって開発されました。今日、EnebyBotの運営者は悪名高い や最近の重大な欠陥のある.

や最近の重大な欠陥のある

のような高プロファイルな脆弱性を活用しています。このボットネットは、4つのモジュールを持っています。最初の部分には、すべての依存関係を取得し、さまざまなOSアーキテクチャ用のマルウェアを作成するために使用されるpythonスクリプトが含まれています。第二のモジュールは、主要なボットネットのソースコードです。三番目の部分は、難読化セグメントであり、最後の部分はコマンド&コントロールコンポーネントを含んでいます。システム内に入ると、マルウェアは新しいデバイスへの拡散、DDoS攻撃の実行、シェルコマンドの実行を含む可能性のある指示を受け取るためにC&Cサーバーに接続します。

また、EnemyBotの基本ソースコードがGithubに公開されていることも言及すべきです。したがって、Keksecグループ以外の脅威アクターも攻撃でこのボットネットを使用する可能性があります。 SOCプロフェッショナル向けの包括的なツールセットを探索し、行動する検出を見てみる準備はできていますか?唯一の 脅威検出市場

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

新しいMiraiボットネット亜種の検出:MooBotサンプルがD-Linkルーターを標的に
ブログ, 最新の脅威 — 4 分で読めます
新しいMiraiボットネット亜種の検出:MooBotサンプルがD-Linkルーターを標的に
Anastasiia Yevdokimova
Miraiボットネットの概要: 脅威の概要、分析および対策
ブログ, 最新の脅威 — 9 分で読めます
Miraiボットネットの概要: 脅威の概要、分析および対策
Andrii Bezverkhyi