Un groupe de menaces qui poursuit l’extraction de crypto et les attaques par d\u00e9ni de service distribu\u00e9 (DDoS) a \u00e9t\u00e9 li\u00e9 \u00e0 un nouveau botnet appel\u00e9 Enemybot, qui a \u00e9t\u00e9 d\u00e9couvert en train d’asservir les routeurs et les appareils de l’Internet des objets (IoT) depuis le mois dernier.<\/p>\n
“Ce botnet est principalement d\u00e9riv\u00e9 du code source de Gafgyt, mais il a \u00e9t\u00e9 observ\u00e9 qu’il emprunte plusieurs modules au code source original de Mirai”, Fortinet FortiGuard Labs mentionn\u00e9<\/a> dans un rapport cette semaine.<\/p>\n Le botnet a \u00e9t\u00e9 attribu\u00e9 \u00e0 un acteur nomm\u00e9 Keksec (alias Kek S\u00e9curit\u00e9<\/a>Necro et FreakOut), qui a \u00e9t\u00e9 li\u00e9 \u00e0 plusieurs botnets tels que Sims<\/a>, Ry\u00fbk<\/a> (\u00e0 ne pas confondre avec le ransomware du m\u00eame nom), et Sama\u00ebl<\/a>et a l’habitude de cibler l’infrastructure cloud pour effectuer des op\u00e9rations de crypto mining et DDoS.<\/p>\n Ciblant principalement les routeurs de Seowon Intech, D-Link et iRZ pour propager ses infections et augmenter en volume, une analyse du sp\u00e9cimen de logiciel malveillant<\/a> a mis en \u00e9vidence les tentatives d’obscurcissement d’Enemybot pour entraver l’analyse et se connecter \u00e0 un serveur distant h\u00e9berg\u00e9 dans le r\u00e9seau d’anonymat Tor pour r\u00e9cup\u00e9rer les commandes d’attaque.<\/p>\n Enemybot, comme les autres logiciels malveillants de botnet, est le r\u00e9sultat de la combinaison et de la modification du code source de Mirai et Gafgyt, la derni\u00e8re version utilisant les modules scanner et bot killer du premier qui sont utilis\u00e9s pour analyser et mettre fin aux processus concurrents ex\u00e9cut\u00e9s sur les m\u00eames appareils.<\/p>\n Certaines des vuln\u00e9rabilit\u00e9s n-day utilis\u00e9es par le botnet pour infecter plus d’appareils sont les suivantes – <\/p>\n Fortinet a \u00e9galement soulign\u00e9 ses chevauchements avec Gafgyt_tor<\/a>sugg\u00e9rant que “Enemybot est probablement une variante mise \u00e0 jour et “renomm\u00e9e” de Gafgyt_tor.”<\/p>\n La divulgation intervient alors que des chercheurs du laboratoire de recherche sur la s\u00e9curit\u00e9 du r\u00e9seau de Qihoo 360 (360 Netlab) ont d\u00e9taill\u00e9 un botnet DDoS \u00e0 propagation rapide appel\u00e9 Fodcha<\/a> qui a pris au pi\u00e8ge plus de 10 000 robots actifs quotidiennement, infectant cumulativement plus de 62 000 robots uniques du 29 mars au 10 avril 2022.<\/p>\n Fodcha a \u00e9t\u00e9 observ\u00e9 se propageant \u00e0 travers des vuln\u00e9rabilit\u00e9s connues dans Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394<\/a>), les enregistreurs vid\u00e9o num\u00e9riques de MVPower, LILIN et les routeurs de TOTOLINK et ZHONE.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\n![\"EnemyBot](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1649957265_591_Le-nouveau-botnet-EnemyBot-DDoS-emprunte-le-code-dexploitation-de.jpg\" "\\"EnemyBot")
<\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n