EnemyBot是一個基于多個惡意軟件代碼的僵尸網絡，它通過迅速增加對最近披露的網絡服務器、內容管理系統、物聯網和Android設備的關鍵漏洞的利用來擴大其影響范圍。該僵尸網絡于3月由 Securonix 的研究人員首次發現，在4份對Fortinet的新樣本進行分析時，發現EnemyBot已經集成了十幾種處理器架構的漏洞。它的主要目的是發起分布式拒絕服務 (DDoS) 攻擊，同時還具有掃描新目標設備并感染它們的模塊。

AT&T Alien Labs的一份新報告指出，EnemyBot的最新變體包含24個漏洞利用。其中大多數都很關鍵，有幾個甚至沒有CVE編號，這使得防御者更難以實施保護。4月份的多數漏洞與路由器和物聯網設備有關，其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞，而Log4Shell是最引人注目的。然而，AT&T Alien Labs 分析的一個新變種包括針對以下安全問題的漏洞利用：

• CVE-2022-22954：影響VMware Workspace ONE Access和VMware Identity Manager的嚴重 (CVSS: 9.8) 遠程代碼執行漏洞。PoC漏洞利用于2022年4月提供。
• CVE-2022-22947：Spring中的遠程代碼執行漏洞，在 2022年3月修復為零日漏洞，并在 2022 年4月成為大規模攻擊目標。
• CVE-2022-1388 ：影響F5 BIG-IP的嚴重 (CVSS: 9.8) 遠程代碼執行漏洞，通過設備接管威脅易受攻擊的端點。第一個PoC于2022年5月在野外出現，并且幾乎立即就開始被積極利用。

通過查看較新版本的惡意軟件支持的命令列表，RSHELL脫穎而出，它被用于在受感染的系統上創建反向shell，這允許威脅參與者繞過防火墻限制并訪問受感染的機器。而以前版本中看到的所有命令仍然存在，且提供了有關 DDoS 攻擊的豐富選項列表。

EnemyBot背后的組織Keksec正在積極開發該惡意軟件，并擁有其他惡意項目：Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。這似乎是一位經驗豐富的惡意軟件作者，他對最新項目表現出特別的關注，一旦出現新的漏洞利用，通常會在系統管理員有機會應用修復之前添加。更糟糕的是，AT&T 報告稱，可能與 Keksec 有密切關聯的人已經發布了 EnemyBot 源代碼，這就導致任何對手都可以使用它。

防范此類威脅的建議包括在更新可用時立即修補軟件產品并監控網絡流量，包括出站連接。目前，EnemyBot 的主要目的是 DDoS 攻擊，但也需要考慮其他可能性（例如加密、訪問），特別是因為惡意軟件現在針對更強大的設備。

參考來源：https://www.bleepingcomputer.com/news/security/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/