EnemyBot

EnemyBot é um botnet ameaçador que os cibercriminosos estão usando principalmente para lançar ataques DDoS (Distributed Denial-of-Service). A botnet foi revelada pela primeira vez em um relatório de segurança dos pesquisadores da Securinox. No entanto, apenas um mês depois, a Fortinet observou novas amostras do EnemyBot com recursos de intrusão expandidos que englobavam falhas em mais de uma dúzia de arquiteturas diferentes.

Os desenvolvedores do malware não desaceleraram desde então, e um relatório da AT&T Alien Labs mostra que as variantes do EnemyBot agora podem explorar 24 vulnerabilidades adicionais. As falhas de segurança recém-incorporadas podem afetar servidores web, dispositivos IoT (Internet das Coisas), dispositivos Android e sistemas de gerenciamento de conteúdo.

Entre as vulnerabilidades adicionadas estão:

• CVE-2022-22954 - uma falha de execução remota de código encontrada no VMware Identity Manager e no VMWare Workspace ONE Access.
• CVE-2022-22947 - uma falha de execução remota de código do Spring que foi abordada como um dia zero em março.
• CVE-2022-1388 - uma execução remota de código em F5 BIG-IP que pode permitir o controle do dispositivo.

A maioria das novas explorações do EnemyBot são classificadas como críticas, enquanto algumas nem têm um número CVE atribuído a elas. Isso está além dos recursos incluídos anteriormente, como aproveitar a infame exploração do Log4Shell.

O EnemyBot agora também é capaz de criar um shell reverso nos sistemas violados. Se forem bem-sucedidos, os agentes de ameaças agora poderão contornar certas restrições de firewall e estabelecer acesso às máquinas visadas. O EnemyBot também possui módulos dedicados que podem procurar novos dispositivos adequados e tentar infectá-los.