Un botnet naissant basé sur Linux nommé Robot ennemi a étendu ses capacités pour inclure les vulnérabilités de sécurité récemment révélées dans son arsenal pour cibler les serveurs Web, les appareils Android et les systèmes de gestion de contenu (CMS).
« Le malware adopte rapidement des vulnérabilités d’un jour dans le cadre de ses capacités d’exploitation », AT&T Alien Labs a dit dans un article technique publié la semaine dernière. « Des services tels que VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase et bien d’autres sont ciblés, ainsi que les appareils IoT et Android. »
Divulgué pour la première fois par Sécuronix en mars et plus tard par Fortinet, Enemybot a été lié à un acteur menaçant suivi sous le nom de Keksec (alias Kek Security, Necro et FreakOut), avec les premières attaques ciblant les routeurs de Seowon Intech, D-Link et iRZ.
Enemybot, qui est capable d’effectuer Attaques DDoS, tire ses origines de plusieurs autres botnets comme Mirai, Qbot, Zbot, Gafgyt et LolFMe. Une analyse de la dernière variante révèle qu’elle est composée de quatre composants différents –
- Un module Python pour télécharger les dépendances et compiler le malware pour différentes architectures de système d’exploitation
- La section principale du botnet
- Un segment d’obfuscation conçu pour encoder et décoder les chaînes du logiciel malveillant, et
- Une fonctionnalité de commande et de contrôle pour recevoir des commandes d’attaque et récupérer des charges utiles supplémentaires
« Si un appareil Android est connecté via USB ou un émulateur Android exécuté sur la machine, EnemyBot essaiera de l’infecter en exécutant [a] commande shell « , ont déclaré les chercheurs, pointant vers une nouvelle fonction » adb_infect « . ADB fait référence à Pont de débogage Androidun utilitaire de ligne de commande utilisé pour communiquer avec un appareil Android.
Une nouvelle fonction de scanner est également intégrée, conçue pour rechercher des vulnérabilités potentielles dans des adresses IP aléatoires associées à des actifs publics, tout en tenant compte des nouveaux bogues quelques jours après leur divulgation publique.
Outre les vulnérabilités Log4Shell qui ont été révélées en décembre 2021, cela inclut des failles récemment corrigées dans les routeurs Razer Sila (pas de CVE), VMware Workspace ONE Access (CVE-2022-22954) et F5 BIG-IP (CVE-2022-1388) ainsi que des faiblesses dans les plugins WordPress comme Video Synchro PDF.
D’autres lacunes de sécurité militarisées sont ci-dessous –
- CVE-2022-22947 (Score CVSS : 10,0) – Une vulnérabilité d’injection de code dans Spring Cloud Gateway
- CVE-2021-4039 (Score CVSS : 9,8) – Une vulnérabilité d’injection de commande dans l’interface Web du Zyxel
- CVE-2022-25075 (Score CVSS : 9,8) – Une vulnérabilité d’injection de commande dans le routeur sans fil TOTOLink A3000RU
- CVE-2021-36356 (Score CVSS : 9,8) – Une vulnérabilité d’exécution de code à distance dans KRAMER VIAware
- CVE-2021-35064 (Score CVSS : 9,8) – Une vulnérabilité d’élévation de privilèges et d’exécution de commandes dans Kramer VIAWare
- CVE-2020-7961 (Score CVSS : 9,8) – Une vulnérabilité d’exécution de code à distance dans le portail Liferay
De plus, le code source du botnet a été partagé sur GitHub, ce qui le rend largement accessible aux autres acteurs de la menace. « Je n’assume aucune responsabilité pour les dommages causés par ce programme », le fichier README du projet lit. « Ceci est publié sous licence Apache et est également considéré comme de l’art. »
« Enemybot de Keksec semble commencer tout juste à se répandre, mais en raison des mises à jour rapides des auteurs, ce botnet a le potentiel de devenir une menace majeure pour les appareils IoT et les serveurs Web », ont déclaré les chercheurs.
« Cela indique que le groupe Keksec dispose de ressources suffisantes et qu’il a développé le malware pour tirer parti des vulnérabilités avant qu’elles ne soient corrigées, augmentant ainsi la vitesse et l’échelle à laquelle il peut se propager. »