Un groupe de menaces qui poursuit l’extraction de crypto et les attaques par déni de service distribué (DDoS) a été lié à un nouveau botnet appelé Enemybot, qui a été découvert en train d’asservir les routeurs et les appareils de l’Internet des objets (IoT) depuis le mois dernier.

« Ce botnet est principalement dérivé du code source de Gafgyt, mais il a été observé qu’il emprunte plusieurs modules au code source original de Mirai », a déclaré Fortinet FortiGuard Labs dans un rapport cette semaine.

Le botnet a été attribué à un acteur nommé Keksec (alias Kek Security, Necro et FreakOut), qui a été lié à plusieurs botnets tels que Simps, Ryuk (à ne pas confondre avec le ransomware du même nom), et Samael, et a l’habitude de cibler l’infrastructure cloud pour effectuer des opérations de crypto mining et DDoS.

Ciblant principalement les routeurs de Seowon Intech, D-Link et iRZ pour propager ses infections et augmenter en volume, une analyse du spécimen de logiciel malveillant a mis en évidence les tentatives d’obscurcissement d’Enemybot pour entraver l’analyse et se connecter à un serveur distant hébergé dans le réseau d’anonymat Tor pour récupérer les commandes d’attaque.

Enemybot, comme les autres logiciels malveillants de botnet, est le résultat de la combinaison et de la modification du code source de Mirai et Gafgyt, la dernière version utilisant les modules scanner et bot killer du premier qui sont utilisés pour analyser et mettre fin aux processus concurrents exécutés sur les mêmes appareils.

Certaines des vulnérabilités n-day utilisées par le botnet pour infecter plus d’appareils sont les suivantes –

CVE-2020-17456 (score CVSS : 9,8) – Une faille d’exécution de code à distance dans les appareils Seowon Intech SLC-130 et SLR-120S.
CVE-2018-10823 (score CVSS : 8,8) – Une vulnérabilité d’exécution de code arbitraire dans les routeurs D-Link
CVE-2022-27226 (score CVSS : 8,8) – Un problème de falsification de requêtes intersites affectant les routeurs mobiles iRZ entraînant l’exécution de code à distance
Fortinet a également souligné ses chevauchements avec Gafgyt_tor, suggérant que « Enemybot est probablement une variante mise à jour et » rebaptisée « de Gafgyt_tor ».

La divulgation intervient alors que des chercheurs du laboratoire de recherche sur la sécurité du réseau de Qihoo 360 (360 Netlab) ont détaillé un botnet DDoS à propagation rapide appelé Fodcha qui a pris au piège plus de 10 000 bots actifs quotidiennement, infectant cumulativement plus de 62 000 bots uniques du 29 mars au 10 avril 2022.

Fodcha a été observé se propageant à travers des vulnérabilités connues dans Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394), des enregistreurs vidéo numériques de MVPower, LILIN et des routeurs de TOTOLINK et ZHONE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *