EnemyBot Linux Botnet: explota vulnerabilidades del servidor web, Android y CMS

Una botnet naciente basada en Linux llamada Enemybot ha ampliado sus capacidades para incluir vulnerabilidades de seguridad recientemente reveladas en su arsenal para apuntar a servidores web, dispositivos Android y sistemas de administración de contenido (CMS).

"El malware está adoptando rápidamente vulnerabilidades de un día como parte de sus capacidades de explotación", dijo AT&T Alien Labs en un artículo técnico publicado la semana pasada. "Se están apuntando a servicios como VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase y más, así como a dispositivos IoT y Android".

Revelado por primera vez por Securonix en marzo y luego por Fortinet , Enemybot ha sido vinculado a un actor de amenazas rastreado como Keksec (también conocido como Kek Security, Necro y FreakOut), con ataques tempranos dirigidos a enrutadores de Seowon Intech, D-Link e iRZ.

Enemybot, que es capaz de llevar a cabo ataques DDoS , tiene sus orígenes en otras redes de bots como Mirai, Qbot, Zbot, Gafgyt y LolFMe. Un análisis de la última variante revela que se compone de cuatro componentes diferentes:

- Un módulo de Python para descargar dependencias y compilar el malware para diferentes arquitecturas de sistemas operativos
- La sección central de botnets
- Un segmento de ofuscación diseñado para codificar y decodificar las cadenas del malware, y
- Una funcionalidad de comando y control para recibir comandos de ataque y obtener cargas útiles adicionales

"En caso de que un dispositivo Android esté conectado a través de USB, o un emulador de Android ejecutándose en la máquina, EnemyBot intentará infectarlo ejecutando [un] comando de shell", dijeron los investigadores, señalando una nueva función "adb_infect". ADB se refiere a Android Debug Bridge , una utilidad de línea de comandos utilizada para comunicarse con un dispositivo Android.

También se incorpora una nueva función de escáner que está diseñada para buscar direcciones IP aleatorias asociadas con activos públicos en busca de posibles vulnerabilidades, al mismo tiempo que tiene en cuenta nuevos errores a los pocos días de su divulgación pública.



Además de las vulnerabilidades de Log4Shell que salieron a la luz en diciembre de 2021, esto incluye fallas recientemente parcheadas en los enrutadores Razer Sila (sin CVE), VMware Workspace ONE Access ( CVE-2022-22954 ) y F5 BIG-IP ( CVE-2022-1388 ) así como debilidades en complementos de WordPress como Video Synchro PDF.

Otras deficiencias de seguridad armadas están a continuación:

- CVE-2022-22947 (puntaje CVSS: 10.0): una vulnerabilidad de inyección de código en Spring Cloud Gateway
- CVE-2021-4039 (puntaje CVSS: 9.: una vulnerabilidad de inyección de comandos en la interfaz web de Zyxel
- CVE-2022-25075 (puntaje CVSS: 9.: una vulnerabilidad de inyección de comando en el enrutador inalámbrico TOTOLink A3000RU
- CVE-2021-36356 (puntaje CVSS: 9.: una vulnerabilidad de ejecución remota de código en KRAMER VIAware
- CVE-2021-35064 (puntaje CVSS: 9.: una vulnerabilidad de escalada de privilegios y ejecución de comandos en Kramer VIAWare
- CVE-2020-7961 (puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código en Liferay Portal

Además, el código fuente de la botnet se ha compartido en GitHub, lo que lo hace ampliamente disponible para otros actores de amenazas. "No asumo ninguna responsabilidad por los daños causados ​​por este programa", dice el archivo LÉAME del proyecto . "Esto se publica bajo licencia Apache y también se considera arte".

"Enemybot de Keksec parece estar comenzando a propagarse, sin embargo, debido a las rápidas actualizaciones de los autores, esta botnet tiene el potencial de convertirse en una gran amenaza para los dispositivos IoT y los servidores web", dijeron los investigadores.

"Esto indica que el grupo Keksec cuenta con buenos recursos y que ha desarrollado el malware para aprovechar las vulnerabilidades antes de que se parcheen, aumentando así la velocidad y la escala a la que se puede propagar".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta