Actus

Le malware EnemyBot ajoute des exploits pour les failles critiques VMware, F5 BIG-IP

Par hfrance , le 30 mai 2022 - 3 minutes de lecture
Le malware EnemyBot ajoute des exploits pour les failles critiques VMware, F5 BIG-IP
Notez l'article

EnemyBot, un botnet basé sur le code de plusieurs éléments malveillants, étend sa portée en ajoutant rapidement des exploits pour les vulnérabilités critiques récemment révélées dans les serveurs Web, les systèmes de gestion de contenu, l’IoT et les appareils Android.

Le botnet a été découvert pour la première fois en mars par des chercheurs de Securonix et en avril, lorsque l’analyse de nouveaux échantillons a émergé de Fortinet, EnemyBot avait déjà intégré des failles pour plus d’une douzaine d’architectures de processeur.

Son objectif principal est de lancer des attaques par déni de service distribué (DDoS) et le malware dispose également de modules pour rechercher de nouveaux appareils cibles et les infecter.

Ajouts de nouvelles variantes

Ajouts de nouvelles variantes

Un nouveau rapport d’AT&T Alien Labs note que les dernières variantes d’EnemyBot intègrent des exploits pour 24 vulnérabilités. La plupart d’entre eux sont critiques, mais il y en a plusieurs qui n’ont même pas de numéro CVE, ce qui rend plus difficile pour les défenseurs de mettre en place des protections.

En avril, la plupart des failles concernaient les routeurs et les appareils IoT, CVE-2022-27226 (iRZ) et CVE-2022-25075 (TOTOLINK) étant parmi les plus récentes et Log4Shell étant la plus notable.

Cependant, une nouvelle variante analysée par AT&T Alien Labs incluait des exploits pour les problèmes de sécurité suivants :

En regardant la liste des commandes prises en charge par une version plus récente du malware, RSHELL se démarque, utilisé pour créer un reverse shell sur le système infecté. Cela permet à l’auteur de la menace de contourner les restrictions du pare-feu et d’accéder à la machine compromise.

Toutes les commandes vues dans la version précédente sont toujours présentes, offrant une riche liste d’options concernant les attaques DDoS.

Perspectives

Perspectives

Keksec, le groupe derrière EnemyBot, développe activement le logiciel malveillant et a d’autres projets malveillants à son actif : Tsunami, Gafgyt, DarkHTTP, DarkIRC et Necro.

Il semble qu’il s’agisse d’un auteur de logiciels malveillants expérimenté qui accorde une attention particulière au projet le plus récent, en ajoutant de nouveaux exploits de vulnérabilités dès qu’ils apparaissent, souvent avant que les administrateurs système n’aient la possibilité d’appliquer des correctifs.

Pour aggraver les choses, AT&T rapporte que quelqu’un, probablement étroitement affilié à Keksec, a publié le code source d’EnemyBot, le rendant disponible pour tout adversaire.

Les recommandations pour se protéger contre ce type de menace incluent l’application de correctifs aux produits logiciels dès que les mises à jour sont disponibles et la surveillance du trafic réseau, y compris les connexions sortantes.

En ce moment, l’objectif principal d’EnemyBot est les attaques DDoS mais d’autres possibilités sont également à envisager (par exemple, le cryptomining, l’accès), d’autant plus que le malware cible désormais des appareils plus puissants.

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.