Un grupo de amenazas que persigue la criptominería y los ataques de denegación de servicio distribuido (DDoS) se ha vinculado a una nueva red de bots llamada Enemybot, que se descubrió esclavizando enrutadores y dispositivos de Internet de las cosas (IoT) desde el mes pasado.
«Esta botnet se deriva principalmente del código fuente de Gafgyt, pero se ha observado que toma prestados varios módulos del código fuente original de Mirai», Fortinet FortiGuard Labs dicho en un informe esta semana.
La botnet ha sido atribuida a un actor llamado Keksec (alias Seguridad KekNecro y FreakOut), que se ha vinculado a múltiples botnets como simps, Ryuk (que no debe confundirse con el ransomware del mismo nombre), y Samaely tiene un historial de apuntar a la infraestructura de la nube para llevar a cabo operaciones de criptominería y DDoS.
Dirigiéndose principalmente a enrutadores de Seowon Intech, D-Link e iRZ para propagar sus infecciones y crecer en volumen, un análisis de la espécimen de malware ha destacado los intentos de ofuscación de Enemybot para obstaculizar el análisis y conectarse a un servidor remoto alojado en la red de anonimato Tor para obtener comandos de ataque.
Enemybot, al igual que el otro malware de botnet, es el resultado de combinar y modificar el código fuente de Mirai y Gafgyt, con la última versión usando el escáner del primero y los módulos asesinos de bots que se usan para escanear y terminar los procesos de la competencia que se ejecutan en los mismos dispositivos.
Algunas de las vulnerabilidades de n-day utilizadas por la botnet para infectar más dispositivos son las siguientes:
- CVE-2020-17456 (Puntuación CVSS: 9,8) – Una falla de ejecución remota de código en los dispositivos Seowon Intech SLC-130 y SLR-120S.
- CVE-2018-10823 (Puntuación CVSS: 8.8) – Una vulnerabilidad de ejecución de código arbitrario en los enrutadores D-Link
- CVE-2022-27226 (Puntuación CVSS: 8,8): un problema de falsificación de solicitudes entre sitios que afecta a los enrutadores móviles iRZ y conduce a la ejecución remota de código
Fortinet también señaló sus superposiciones con Gafgyt_torlo que sugiere que «Enemybot es probablemente una variante actualizada y ‘rebautizada’ de Gafgyt_tor».
La divulgación se produce cuando los investigadores del Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab) detallaron una red de bots DDoS de rápida propagación llamada fodcha que ha atrapado a más de 10 000 bots activos diarios, infectando acumulativamente a más de 62 000 bots únicos del 29 de marzo al 10 de abril de 2022.
Se ha observado que Fodcha se propaga a través de vulnerabilidades conocidas en Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394), videograbadores digitales de MVPower, LILIN y enrutadores de TOTOLINK y ZHONE.