Un botnet basé sur Linux naissant nommé Enemybot a étendu ses capacités pour inclure les vulnérabilités de sécurité récemment révélées dans son arsenal pour cibler les serveurs Web, les appareils Android et les systèmes de gestion de contenu (CMS). « Le logiciel malveillant adopte rapidement des vulnérabilités d’un jour dans le cadre de ses capacités d’exploitation », a déclaré AT&T Alien Labs dans un article technique publié la semaine dernière. « Des services tels que VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase et bien d’autres sont ciblés, ainsi que les appareils IoT et Android. » Décrit pour la première fois par Securonix en mars et plus tard par Fortinet, Enemybot a été lié à un acteur menaçant suivi sous le nom de Keksec (alias Kek Security, Necro et FreakOut), avec les premières attaques ciblant les routeurs de Seowon Intech, D-Link et iRZ. Enemybot, capable de mener des attaques DDoS, tire ses origines de plusieurs autres botnets comme Mirai, Qbot, Zbot, Gafgyt et LolFMe. Une analyse de la dernière variante révèle qu’elle est composée de quatre composants différents – Un module Python pour télécharger les dépendances et compiler le malware pour différentes architectures de système d’exploitation La section principale du botnet Un segment d’obfuscation conçu pour encoder et décoder les chaînes du logiciel malveillant, et Une fonctionnalité de commande et de contrôle pour recevoir des commandes d’attaque et récupérer des charges utiles supplémentaires « Dans le cas où un appareil Android est connecté via USB ou un émulateur Android exécuté sur la machine, EnemyBot essaiera de l’infecter en exécutant [une] commande shell », ont déclaré les chercheurs, pointant vers une nouvelle fonction « adb_infect ». ADB fait référence à Android Debug Bridge, un utilitaire de ligne de commande utilisé pour communiquer avec un appareil Android. Une nouvelle fonction de scanner est également intégrée, conçue pour rechercher des vulnérabilités potentielles dans des adresses IP aléatoires associées à des actifs publics, tout en prenant également en compte les nouveaux bogues quelques jours après leur divulgation publique.
Outre les vulnérabilités Log4Shell qui ont été révélées en décembre 2021, cela inclut des failles récemment corrigées dans les routeurs Razer Sila (pas de CVE), VMware Workspace ONE Access (CVE-2022-22954) et F5 BIG-IP (CVE-2022-1388) ainsi que des faiblesses dans les plugins WordPress comme Video Synchro PDF. D’autres lacunes de sécurité militarisées sont ci-dessous
– CVE-2022-22947 (score CVSS : 10,0) – Une vulnérabilité d’injection de code dans Spring Cloud Gateway CVE-2021-4039 (score CVSS : 9,8) – Une vulnérabilité d’injection de commande dans l’interface Web du Zyxel CVE-2022-25075 (score CVSS : 9,8) – Une vulnérabilité d’injection de commande dans le routeur sans fil TOTOLink A3000RU
CVE-2021-36356 (score CVSS : 9,8) – Une vulnérabilité d’exécution de code à distance dans KRAMER VIAware
CVE-2021-35064 (score CVSS : 9,8) – Une vulnérabilité d’élévation de privilèges et d’exécution de commandes dans Kramer VIAWare
CVE-2020-7961 (score CVSS : 9,8) – Une vulnérabilité d’exécution de code à distance dans le portail Liferay
De plus, le code source du botnet a été partagé sur GitHub, ce qui le rend largement accessible aux autres acteurs de la menace. « Je n’assume aucune responsabilité pour les dommages causés par ce programme », lit-on dans le fichier README du projet. « Ceci est publié sous licence Apache et est également considéré comme de l’art. » « Enemybot de Keksec semble commencer tout juste à se répandre, mais en raison des mises à jour rapides des auteurs, ce botnet a le potentiel de devenir une menace majeure pour les appareils IoT et les serveurs Web », ont déclaré les chercheurs. « Cela indique que le groupe Keksec dispose de ressources suffisantes et qu’il a développé le malware pour tirer parti des vulnérabilités avant qu’elles ne soient corrigées, augmentant ainsi la vitesse et l’échelle auxquelles il peut se propager. »