Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias El malware EnemyBot agrega exploits para fallas críticas de VMware, F5 BIG-IP

El malware EnemyBot agrega exploits para fallas críticas de VMware, F5 BIG-IP

por Dragora

EnemyBot, una red de bots basada en el código de varias piezas de malware, está ampliando su alcance al agregar rápidamente exploits para vulnerabilidades críticas recientemente reveladas en servidores web, sistemas de administración de contenido, IoT y dispositivos Android.

La botnet fue descubierta por primera vez en marzo por investigadores de Securonix y en abril, cuando surgieron análisis de muestras más nuevas de Fortinet, EnemyBot ya había integrado fallas para más de una docena de arquitecturas de procesador.

Su objetivo principal es lanzar ataques de denegación de servicio distribuido (DDoS) y el malware también tiene módulos para buscar nuevos dispositivos de destino e infectarlos.

Adiciones de nuevas variantes

Un nuevo informe de AT&T Alien Labs  señala que las últimas variantes de EnemyBot incorporan exploits para 24 vulnerabilidades. La mayoría de ellos son críticos, pero hay varios que ni siquiera tienen un número CVE, lo que dificulta que los defensores implementen protecciones.

robot

En abril, la mayoría de las fallas estaban relacionadas con enrutadores y dispositivos IoT, siendo CVE-2022-27226 (iRZ) y CVE-2022-25075 (TOTOLINK) entre las más recientes y Log4Shell la más notable.

Sin embargo, una nueva variante analizada por AT&T Alien Labs incluía exploits para los siguientes problemas de seguridad:

Adición de CVE-2022-22954 en el código de EnemyBot
Adición de CVE-2022-22954 en el código de EnemyBot (AT&T)

Mirando la lista de comandos admitidos por las versiones más nuevas del malware, se destaca RSHELL, que se usa para crear un shell inverso en el sistema infectado. Esto permite que el actor de amenazas eluda las restricciones del firewall y obtenga acceso a la máquina comprometida.

Todos los comandos vistos en la versión anterior todavía están presentes, ofreciendo una rica lista de opciones relacionadas con los ataques DDoS.

panorama

Keksec, el grupo detrás de EnemyBot, está desarrollando activamente el malware y tiene otros proyectos maliciosos en su haber: Tsunami, Gafgyt, DarkHTTP, DarkIRC y Necro.

Este parece ser un autor de malware experimentado que muestra un cuidado especial por el proyecto más nuevo, agregando nuevas vulnerabilidades en cuanto surgen, a menudo antes de que los administradores del sistema tengan la oportunidad de aplicar correcciones.

Para empeorar las cosas, AT&T informa que alguien, probablemente afiliado estrechamente a Keksec, ha publicado el código fuente de EnemyBot, poniéndolo a disposición de cualquier adversario.

Las recomendaciones para protegerse contra este tipo de amenazas incluyen aplicar parches a los productos de software tan pronto como las actualizaciones estén disponibles y monitorear el tráfico de la red, incluidas las conexiones salientes.

En este momento, el objetivo principal de EnemyBot son los ataques DDoS, pero también se deben considerar otras posibilidades (por ejemplo, criptominería, acceso), especialmente porque el malware ahora se dirige a dispositivos más potentes.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!