Casa > Ciber Noticias > Enemybot Botnet ahora explotando CMS, Servidor web y fallas de Android
CYBER NOTICIAS

Enemybot Botnet ahora explotando CMS, Servidor web y fallas de Android

por   |  Last Update:  |  0 Comentarios  

red de bots

Un nuevo de denegación de servicio distribuido botnet se ha detectado en la naturaleza.

Actualización. Según una nueva investigación publicada por AT&T, EnemyBot ahora está adoptando rápidamente “vulnerabilidades de un día como parte de sus capacidades de explotación.” Servicios como VMware Workspace ONE, Adobe ColdFusion, WordPress, Caso de script PHP, así como dispositivos IoT y Android también están siendo objetivo de estas nuevas campañas.. Más específicamente, la última variante incluye una función de escaneo web que contiene 24 exploits para atacar vulnerabilidades en los dispositivos y servidores web antes mencionados.

Conoce a EnemyBot

Apodado EnemyBot y divulgado por investigadores de FortiGuard Labs, la botnet tiene un impacto crítico en dispositivos específicos, incluidos los enrutadores Seowon Intech y D-Link, y también explota una vulnerabilidad del enrutador iRZ recientemente reportada para infectar más dispositivos. Los investigadores dicen que se ha derivado del código fuente de Gafgyt, y ha tomado prestados varios módulos del código fuente original de Mirai. EnemyBotnet ha sido atribuido a Keksec, un grupo de amenazas que se especializa en cryptomining y ataques DDoS.




Detalles técnicos de EnemyBot

Como la mayoría de las redes de bots, este también infecta múltiples arquitecturas para aumentar sus posibilidades de infectar más dispositivos. Además de dispositivos IoT, Enemybot también apunta a arquitecturas de escritorio y servidor como BSD, incluyendo a darwin (Mac OS), y x64, Informe FortiGuard dijo.

Aquí hay una lista de las arquitecturas a las que apunta la botnet:

brazo
brazo5
brazo64
brazo7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86

Ofuscación

EnemyBot usa ofuscación para ofuscar cadenas de varias maneras:

El dominio C2 usa codificación XOR con un ke de varios bytes
Las credenciales para las palabras clave SSH de fuerza bruta y bot killer usan codificación de estilo Mirai, es decir, codificación XOR de un solo byte con 0x22
Los comandos se cifran con un cifrado de sustitución, es decir,, cambiando un personaje por otro
Algunas cadenas se codifican simplemente sumando tres al valor numérico de cada carácter

Aunque estas técnicas son simples, son lo suficientemente eficientes como para ocultar cualquier indicador de la presencia de malware del análisis. Como una cuestión de hecho, la mayoría de las botnets IoT y DDoS están diseñadas para ubicar dichos indicadores para evitar que otras botnets se ejecuten en el mismo dispositivo.




Distribución

Enemybot aprovecha varias técnicas de distribución, también típico de otras botnets similares, como el uso de una lista de combinaciones codificadas de nombre de usuario y contraseña para iniciar sesión en los dispositivos. Estos dispositivos suelen estar mal configurados o utilizan credenciales predeterminadas. Mirai usó la misma técnica..

Para infectar dispositivos Android mal configurados con un puerto Android Debud Bridge expuesto (5555), el malware intenta ejecutar comandos de shell. La botnet también utiliza vulnerabilidades de seguridad para apuntar a dispositivos específicos., como en enrutadores SEOWON INTECH SLC-130 y SLR-120S y CVE-2018-10823 en enrutadores D-Link.

A principios de este mes, escribimos sobre otra botnet revelada por FortiGuard, que se consideraba otra variante del Mirai. Llamado Modo bestia, la botnet estaba explotando una lista de vulnerabilidades específicas en los enrutadores TOTOLINK.

Las vulnerabilidades críticas son relativamente nuevas, divulgado en el período comprendido entre febrero y marzo 2022. Afectada es la plataforma Linux. Como resultado de las vulnerabilidades, los atacantes remotos podrían obtener el control de los sistemas expuestos.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. Mirai Botnet Ataques de subida Tras su código fuente se ha subido La notoria la IO(Internet de las Cosas) botnet Mirai ha visto un...
  2. Aditya Gupta: Las herramientas necesarias para mejorar la seguridad de los dispositivos IO Aditya Gupta tiene una impresionante experiencia en investigación de seguridad en Internet..
  3. Reaper Botnet malware – ¿Qué es y cómo proteger los dispositivos IO Los investigadores de malware han detectado un nuevo malware Botnet para....
  4. Los riesgos relacionados con la IO en el sector empresarial (para companias) Los sistemas de seguridad para el hogar del Internet de las Cosas pueden proteger a todos....
  5. Mirai nueva variante utiliza el puerto 23, Puerto 2323 y CVE-2016-10401 Una nueva variante de Mirai justo antes de Navidad? Por supuesto, por qué...
  6. Surge una nueva botnet Mirai, Atacar dispositivos IoT vulnerables Nuevos informes de seguridad indican la aparición de nuevas botnets Mirai..
  7. El Hide ‘n Busque la IO Botnet Usos P2P dispositivos de destino Security analysts uncovered a new worldwide malware threat — the...
  8. Mirai Botnet se lleva el largo de 900K dispositivos IO En Alemania What appears to be the biggest botnet so far –...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo