มัลแวร์ EnemyBot เพิ่มช่องโหว่ใหม่ใน VMware และ F5 BIG-IP !!

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายชนิด กำลังขยายการเข้าถึงโดยการเพิ่มช่องโหว่ในเว็บเซิร์ฟเวอร์, ระบบจัดการเนื้อหา(CMS), IoT และอุปกรณ์ Android จุดประสงค์คือเปิดตัวการโจมตีแบบปฏิเสธการให้บริการ (DDoS) อีกทั้งมัลแวร์ยังมีโมดูลสำหรับสแกนหาอุปกรณ์เป้าหมายใหม่ และแพร่กระจาย 

AT&T Alien Labs ระบุว่า EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข  
CVE ซึ่งทำให้ใช้การป้องกันได้ยากขึ้น โดยข้อบกพร่องส่วนใหญ่ที่เกี่ยวข้องกับเราเตอร์และอุปกรณ์ IoT  
โดยช่องโหว่ที่เพิ่มขึ้นของ EnemyBot มีดังนี้ : 

  • CVE-2022-22954 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ VMware Workspace  
    ONE Access และ VMware Identity Manager  
  • CVE-2022-22947 (CVSS: 6.8) ช่องโหว่ใน Spring Cloud Gateway โดยผู้ไม่ประสงค์ดีสามารถสร้างคำขอ และอาจอนุญาตให้มีการดำเนินการบนโฮสต์ระยะไกลได้ 
  • CVE-2022-1388 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลกระทบต่อ F5 BIG-IP  
    ซึ่งโจมตีอุปกรณ์ปลายทางที่มีช่องโหว่ด้วยการเข้าครอบครองอุปกรณ์ PoC  
CVE-2022-22954 in EnemyBot’s code (AT&T) 

จุดประสงค์หลักของ EnemyBot คือการโจมตี DDoS แต่ควรพิจารณาความเป็นไปได้อื่นๆ ด้วย  
(เช่น cryptomining) เนื่องจากมัลแวร์กำลังกำหนดเป้าหมายอุปกรณ์ที่มีประสิทธิภาพมากขึ้น 

URL 
http[:]//198[.]12[.]116[.]254/folder/dnsamp[.]txt http[:]//198[.]12[.]116[.]254/folder/enemybotppc-440fp 
http[:]//198[.]12[.]116[.]254/folder/enemybotarm http[:]//198[.]12[.]116[.]254/folder/enemybotsh4 
http[:]//198[.]12[.]116[.]254/folder/enemybotarm5 http[:]//198[.]12[.]116[.]254/folder/enemybotspc 
http[:]//198[.]12[.]116[.]254/folder/enemybotarm64 http[:]//198[.]12[.]116[.]254/folder/enemybotx64 
http[:]//198[.]12[.]116[.]254/folder/enemybotarm7 http[:]//198[.]12[.]116[.]254/folder/enemybotx86 
http[:]//198[.]12[.]116[.]254/folder/enemybotbsd http[:]//198[.]12[.]116[.]254/folder/enemybotx64 
http[:]//198[.]12[.]116[.]254/folder/enemybotdarwin http[:]//198[.]12[.]116[.]254/update[.]sh 
http[:]//198[.]12[.]116[.]254/folder/enemyboti586 http[:]//198[.]12[.]116[.]254/folder/enemybotmips 
http[:]//198[.]12[.]116[.]254/folder/enemyboti686 http[:]//198[.]12[.]116[.]254/folder/enemybotmpsl 
http[:]//198[.]12[.]116[.]254/folder/enemybotm68k http[:]//198[.]12[.]116[.]254/folder/enemybotppc 

 IOCS 

SHA256s 
5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38 
bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f 
adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef 
373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad 
b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca 
cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243 
73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009 
33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367 
80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971 
9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14 

แนะนำ 

  1. อัพเดตอุปกรณ์ และซอต์ฟแวร์ให้เป็นเวอร์ชันล่าสุดทันที 
  1. บล็อก IoCs ดังกล่าวทั้งหมด 
  1. เฝ้าระวังการรับส่งข้อมูลในเครือข่าย โดยเฉพาะการเชื่อมต่อขาออก 
  1. ติดตั้ง Web Application Firewall 
  1. ควรสำรองข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform)  
  1. ควรแสกนไวรัสในเครื่องอย่างสม่ำเสมอ 
  1. ควรตระหนักถึงภัยคุกคามทางไซเบอร์ 

Ref:  https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/ 

Ref IOCS: https://www.rewterz.com/rewterz-news/rewterz-threat-alert-enemybot-active-iocs 

Share