Accueil > Nouvelles Cyber > Enemybot Botnet exploite maintenant le CMS, Défauts du serveur Web et d'Android
CYBER NOUVELLES

Enemybot Botnet exploite maintenant le CMS, Défauts du serveur Web et d'Android

par   |  Last Update:  |  0 Commentaires  

botnet ennemibot

Un nouveau déni de service distribué botnet a été détecté à l'état sauvage.

Mise à jour. Selon une nouvelle étude publiée par AT&T, EnemyBot adopte maintenant rapidement “vulnérabilités d'un jour dans le cadre de ses capacités d'exploitation.” Services tels que VMware Workspace ONE, Adobe ColdFusion, WordPress, Cas de script PHP, ainsi que les appareils IoT et Android sont également ciblés dans ces nouvelles campagnes. Plus précisement, la dernière variante comprend une fonction de numérisation Web qui contient 24 exploits pour attaquer les vulnérabilités des appareils et serveurs Web susmentionnés.

Rencontrez EnemyBot

Surnommé EnemyBot et divulgué par les chercheurs de FortiGuard Labs, le botnet a un impact critique sur des appareils spécifiques, y compris les routeurs Seowon Intech et D-Link, et il exploite également une vulnérabilité de routeur iRZ récemment signalée pour infecter plus d'appareils. Les chercheurs disent qu'il a été dérivé du code source de Gafgyt, et a emprunté plusieurs modules du code source original de Mirai. EnemyBotnet a été attribué à Keksec, un groupe de menaces spécialisé dans le cryptomining et les attaques DDoS.




Détails techniques de l'EnemyBot

Comme la plupart des botnets, celui-ci infecte également plusieurs architectures pour augmenter ses chances d'infecter plus d'appareils. En plus des appareils IoT, Enemybot cible également les architectures de bureau et de serveur telles que BSD, y compris Darwin (macOS), et x64, Rapport FortiGuard dit.

Voici une liste des architectures ciblées par le botnet:

bras
bras5
arm64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86

obfuscation

EnemyBot utilise l'obscurcissement pour obscurcir les chaînes de plusieurs manières:

Le domaine C2 utilise l'encodage XOR avec un ke multi-octets
Les informations d'identification pour les mots clés SSH brute-forcing et bot killer utilisent l'encodage de style Mirai, c'est à dire., codage XOR à un octet avec 0x22
Les commandes sont chiffrées avec un chiffrement de substitution, i.e,, remplacer un personnage par un autre
Certaines chaînes sont codées en ajoutant simplement trois à la valeur numérique de chaque caractère

Même si ces techniques sont simples, ils sont suffisamment efficaces pour masquer tout indicateur de la présence de logiciels malveillants lors de l'analyse. En réalité, la plupart des botnets IoT et DDoS sont conçus pour localiser ces indicateurs afin d'empêcher d'autres botnets de s'exécuter sur le même appareil.




Distribution

Enemybot exploite plusieurs techniques de distribution, également typique pour d'autres botnets similaires, comme l'utilisation d'une liste de combinaisons de nom d'utilisateur et de mot de passe codées en dur pour se connecter aux appareils. Ces appareils sont généralement mal configurés ou utilisent des informations d'identification par défaut. Mirai a utilisé la même technique.

Pour infecter des appareils Android mal configurés avec un port Android Debud Bridge exposé (5555), le logiciel malveillant tente d'exécuter des commandes shell. Le botnet utilise également des failles de sécurité pour cibler des appareils spécifiques, comme dans les routeurs SEOWON INTECH SLC-130 et SLR-120S et CVE-2018-10823 dans les routeurs D-Link.

Plus tôt ce mois-ci, nous avons écrit sur un autre botnet divulgué par FortiGuard, qui était considéré comme une autre variante du Mirai. Appelé Mode bête, le botnet exploitait une liste de vulnérabilités spécifiques dans les routeurs TOTOLINK.

Les vulnérabilités critiques sont relativement nouvelles, communiqués entre février et mars 2022. Affecté est la plate-forme Linux. En raison des vulnérabilités, des attaquants distants pourraient prendre le contrôle des systèmes exposés.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Mirai Botnet Attaques Hausse Après Son code source a été chargé Le fameux IdO(Internet des objets) botnet Mirai a vu un...
  2. Aditya Gupta: Les outils nécessaires pour améliorer la sécurité des dispositifs IdO Aditya Gupta possède une impressionnante expérience de recherche en sécurité sur Internet..
  3. Reaper Botnet Malware – Qu'est-ce et comment pour protéger les appareils IdO Un nouveau malware Botnet a été détecté par des chercheurs de logiciels malveillants pour....
  4. Les risques IdO-connexes dans le secteur des entreprises (pour les entreprises) Les systèmes de sécurité domestique de l'Internet des objets peuvent protéger tous...
  5. Mirai nouvelle variante utilise le port 23, Port 2323 et CVE-2016-10401 Une nouvelle variante de Mirai juste avant Noël? Sûr, Pourquoi...
  6. Un nouveau botnet Mirai émerge, Attaquer les appareils IoT vulnérables De nouveaux rapports de sécurité indiquent l'émergence de nouveaux botnets Mirai..
  7. Le Hide « n Seek IdO Botnet Utilise P2P pour les équipements cibles Les analystes de la sécurité ont découvert une nouvelle menace mondiale de malware - le...
  8. Mirai Botnet Takes Over Bas 900K Devices IdO En Allemagne Ce qui semble être le plus gros botnet à ce jour -...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord