物联网恶意软件针对性攻击服务器和安卓系统

一个被称为 “EnemyBot” 的快速发展的物联网恶意软件,其攻击目标是内容管理系统(CMS)、网络服务器和Android设备。据研究人员称,目前,威胁攻击组织 “Keksec “被认为是传播该恶意软件的幕后推手。

他们补充说,诸如VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服务以及物联网和安卓设备正在成为被攻击的目标。AT&T Alien实验室在最近的一篇文章中报告说,该恶意软件正在迅速采用1day漏洞进行大范围的攻击。

根据AT&T对该恶意软件代码分析,EnemyBot大量使用了Mirai、Qbot和Zbot等其他僵尸网络的攻击代码。Keksec集团通过针对Linux机器和其他的物联网设备分发恶意软件。这个威胁集团早在2016年就已成立,并且该集团包括众多僵尸网络攻击者。

EnemyBot的攻击

Alien实验室研究小组发现,该恶意软件主要有四个主要部分。

第一部分是一个python脚本 “cc7.py”,该工具可以用于下载依赖文件,并将恶意软件编译成针对不同操作系统架构(x86,ARM,macOS,OpenBSD,PowerPC,MIPS)的软件。编译完成后,将会创建一个名为”update.sh “的批处理文件来将恶意软件传播到各种易受攻击的目标上。

第二部分是主要的僵尸网络源代码,除了主要部分,它包含了恶意软件的其他所有功能,并采用了其他各种僵尸网络的源代码,这些工具可以结合起来进行攻击。

第三个模块是混淆工具”hide.c”,它可以进行手动编译和执行,并且对恶意软件的字符串进行编码和解密。据研究人员称,一个简单的swap表可以用来隐藏字符串,并把每个字符都替换成表中的相应字符。

最后一部分包含了一个命令和控制(CC)组件,可以接收攻击者的攻击命令以及有效载荷。

AT&T研究人员进一步分析显示,该软件还有一个扫描器功能,可以扫描易受攻击的IP地址。并且还有一个”adb_infect “功能,可以用于攻击安卓设备。

ADB或安卓调试桥是一个命令行工具,它允许你直接与设备进行通信。

研究人员说:”如果安卓设备通过USB连接,或在机器上直接运行安卓模拟器,EnemyBot将会试图通过执行shell命令来感染它。”

研究人员补充说,Keksec的EnemyBot似乎刚刚开始传播,然而由于作者的快速更新,这个僵尸网络有可能成为物联网设备和网络服务器的主要威胁。

这个基于Linux的僵尸网络EnemyBot是由Securonix在2022年3月首次发现的,后来Fortinet对此做了深入分析。

目前在被EnemyBot利用的漏洞

AT&T研究人员发布了一份目前在被Enemybot利用的漏洞清单,其中一些漏洞还没有分配到CVE。

该列表包括Log4shell漏洞(CVE-2021-44228,CVE-2021-45046),F5 BIG IP设备(CVE-2022-1388)以及其他漏洞。有些漏洞还没有分配到CVE,如PHP Scriptcase和Adobe ColdFusion 11。

Log4shell漏洞 – CVE-2021-44228, CVE-2021-45046。

F5 BIG IP设备 – CVE-2022-1388。

Spring Cloud Gateway – CVE-2022-22947。

TOTOLink A3000RU无线路由器 – CVE-2022-25075。

Kramer VIAWare – CVE-2021-35064。

该研究人员解释说,这表明Keksec集团的资源很充足,该集团开发的恶意软件可以在漏洞被修补之前利用这些漏洞,从而提高其传播的速度和规模。

建议采取的行动

Alien实验室的研究人员提出了防止漏洞被攻击利用的方法。建议用户正确配置防火墙,并尽量减少Linux服务器和物联网设备在互联网上暴露的可能性。

并且建议组织监控网络流量,扫描出站端口并寻找可疑的流量。软件要自动更新,并打上最新的安全更新补丁。

本文翻译自:https://threatpost.com/enemybot-malware-targets-web-servers-cms-tools-and-android-os/179765/如若转载,请注明原文地址。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/141694.html<

(0)
管理的头像管理
上一篇2025-03-04 12:49
下一篇 2025-03-04 12:50

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注