Un nouveau déni de service distribué botnet a été détecté à l'état sauvage.
Mise à jour. Selon une nouvelle étude publiée par AT&T, EnemyBot adopte maintenant rapidement “vulnérabilités d'un jour dans le cadre de ses capacités d'exploitation.” Services tels que VMware Workspace ONE, Adobe ColdFusion, WordPress, Cas de script PHP, ainsi que les appareils IoT et Android sont également ciblés dans ces nouvelles campagnes. Plus précisement, la dernière variante comprend une fonction de numérisation Web qui contient 24 exploits pour attaquer les vulnérabilités des appareils et serveurs Web susmentionnés.
Rencontrez EnemyBot
Surnommé EnemyBot et divulgué par les chercheurs de FortiGuard Labs, le botnet a un impact critique sur des appareils spécifiques, y compris les routeurs Seowon Intech et D-Link, et il exploite également une vulnérabilité de routeur iRZ récemment signalée pour infecter plus d'appareils. Les chercheurs disent qu'il a été dérivé du code source de Gafgyt, et a emprunté plusieurs modules du code source original de Mirai. EnemyBotnet a été attribué à Keksec, un groupe de menaces spécialisé dans le cryptomining et les attaques DDoS.
Détails techniques de l'EnemyBot
Comme la plupart des botnets, celui-ci infecte également plusieurs architectures pour augmenter ses chances d'infecter plus d'appareils. En plus des appareils IoT, Enemybot cible également les architectures de bureau et de serveur telles que BSD, y compris Darwin (macOS), et x64, Rapport FortiGuard dit.
Voici une liste des architectures ciblées par le botnet:
bras
bras5
arm64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86
obfuscation
EnemyBot utilise l'obscurcissement pour obscurcir les chaînes de plusieurs manières:
Le domaine C2 utilise l'encodage XOR avec un ke multi-octets
Les informations d'identification pour les mots clés SSH brute-forcing et bot killer utilisent l'encodage de style Mirai, c'est à dire., codage XOR à un octet avec 0x22
Les commandes sont chiffrées avec un chiffrement de substitution, i.e,, remplacer un personnage par un autre
Certaines chaînes sont codées en ajoutant simplement trois à la valeur numérique de chaque caractère
Même si ces techniques sont simples, ils sont suffisamment efficaces pour masquer tout indicateur de la présence de logiciels malveillants lors de l'analyse. En réalité, la plupart des botnets IoT et DDoS sont conçus pour localiser ces indicateurs afin d'empêcher d'autres botnets de s'exécuter sur le même appareil.
Distribution
Enemybot exploite plusieurs techniques de distribution, également typique pour d'autres botnets similaires, comme l'utilisation d'une liste de combinaisons de nom d'utilisateur et de mot de passe codées en dur pour se connecter aux appareils. Ces appareils sont généralement mal configurés ou utilisent des informations d'identification par défaut. Mirai a utilisé la même technique.
Pour infecter des appareils Android mal configurés avec un port Android Debud Bridge exposé (5555), le logiciel malveillant tente d'exécuter des commandes shell. Le botnet utilise également des failles de sécurité pour cibler des appareils spécifiques, comme dans les routeurs SEOWON INTECH SLC-130 et SLR-120S et CVE-2018-10823 dans les routeurs D-Link.
Plus tôt ce mois-ci, nous avons écrit sur un autre botnet divulgué par FortiGuard, qui était considéré comme une autre variante du Mirai. Appelé Mode bête, le botnet exploitait une liste de vulnérabilités spécifiques dans les routeurs TOTOLINK.
Les vulnérabilités critiques sont relativement nouvelles, communiqués entre février et mars 2022. Affecté est la plate-forme Linux. En raison des vulnérabilités, des attaquants distants pourraient prendre le contrôle des systèmes exposés.