EnemyBot

EnemyBot è una botnet minacciosa che i criminali informatici utilizzano principalmente per lanciare attacchi DDoS (Distributed Denial-of-Service). La botnet è stata portata alla luce per la prima volta in un rapporto sulla sicurezza dai ricercatori di Securinox. Tuttavia, solo un mese dopo, Fortinet ha osservato nuovi campioni EnemyBot con capacità di intrusione ampliate che comprendevano difetti per oltre una dozzina di architetture diverse.

Da allora gli sviluppatori del malware non hanno rallentato e un rapporto di AT&T Alien Labs mostra che le varianti di EnemyBot possono ora sfruttare 24 vulnerabilità aggiuntive. I nuovi difetti di sicurezza incorporati possono interessare server Web, dispositivi IoT (Internet of Things), dispositivi Android e sistemi di gestione dei contenuti.

Tra le vulnerabilità aggiunte ci sono:

• CVE-2022-22954 - un difetto di esecuzione di codice remoto rilevato in VMware Identity Manager e VMWare Workspace ONE Access.
• CVE-2022-22947 - un difetto di esecuzione di codice remoto primaverile che è stato risolto come zero-day a marzo.
• CVE-2022-1388 - un'esecuzione di codice remoto in F5 BIG-IP che può consentire l'acquisizione del dispositivo.

La maggior parte dei nuovi exploit di EnemyBot sono classificati come critici mentre ad alcuni non è nemmeno stato assegnato un numero CVE. Questo si aggiunge alle funzionalità precedentemente incluse, come sfruttare il famigerato exploit Log4Shell.

EnemyBot è ora anche in grado di creare una shell inversa sui sistemi violati. In caso di successo, gli attori delle minacce potrebbero ora essere in grado di aggirare alcune restrizioni del firewall e stabilire l'accesso ai computer presi di mira. EnemyBot possiede anche moduli dedicati in grado di scansionare nuovi dispositivi adatti e tentare di infettarli.