1. EnemyBot : Vmware, F5 BIG-IP 취약점에 대한 exploit 추가
EnemyBot은 여러 악성코드의 코드로 이루어진 botnet으로, 최근 공개된 크리티컬한 취약점에 대한 exploit을 추가하여 더욱 빠르게 확산되고 있다.
해당 봇넷은 3월에 처음 발견되었으며, 4월에 새로운 샘플에 대한 분석이 나왔을 때 이미 12개 이상의 프로세서 아키텍처에 대한 취약점들이 들어가있었다. 주요 목적은 DDoS이며, 새로운 대상 장치를 확인하고 감염을 시키는 모듈도 있다.
이번에 확인된 최신 변종에는 24개의 취약점에 대한 exploit이 포함되어있으며, CVE 번호도 없는 것도 몇가지 있는 것으로 확인된다.
- CVE-2022-22954: 치명적인(CVSS 9.8) RCE 취약점으로 VMware Workspace ONE Access, VMware Identity Manager에 영향을 미친다.(POC: https://github.com/DrorDvash/CVE-2022-22954_VMware_PoC)
- CVE-2022-22947: Spring의 RCE 취약점(4월에 활발하게 악용됨)
- CVE-2022-1388: 치명적인(CVSS 9.8) RCE 취약점으로 F5 BIG-IP에 영향을 미치며 장비를 탈취하여 취약한 엔드포인트를 공격한다. (POC: https://github.com/horizon3ai/CVE-2022-1388) 5월에 in-the-wild로 나타났으며 바로 적극적으로 공격에 사용되었다.
최근 버전의 악성코드를 확인하면 방화벽 바이패스나 권한을 얻기 위해 reverse shell을 만드는 RSHELL을 볼 수 있다. 해당 봇넷의 배후는 Keksec으로 추정되며 이들은 Tsunami, Gafgyt, DarkHTTP, DarkIRC, Necro와 같은 다양한 악성 프로젝트도 운영중이다.
'깔짝할짝' 카테고리의 다른 글
| 2022-06-02 Thur (0) | 2022.06.02 |
|---|---|
| 2022-05-31 Tue (0) | 2022.05.31 |
| 2022-05-13 Fri (0) | 2022.05.13 |
| 2022-05-10 Tue (0) | 2022.05.10 |
| 2022-05-09 Mon (0) | 2022.05.09 |