EnemyBot

EnemyBot este o rețea botnet amenințătoare pe care infractorii cibernetici o folosesc în principal pentru lansarea atacurilor DDoS (Distributed Denial-of-Service). Rețeaua botnet a fost scoasă la iveală pentru prima dată într-un raport de securitate de către cercetătorii de la Securinox. Cu toate acestea, doar o lună mai târziu, Fortinet a observat noi mostre de EnemyBot cu capacități extinse de intruziune care au cuprins defecte pentru peste o duzină de arhitecturi diferite.

Dezvoltatorii malware-ului nu au încetinit de atunci, iar un raport de la AT&T Alien Labs arată că variantele EnemyBot pot exploata acum 24 de vulnerabilități suplimentare. Defectele de securitate nou încorporate pot afecta serverele web, dispozitivele IoT (Internet of Things), dispozitivele Android și sistemele de gestionare a conținutului.

Printre vulnerabilitățile adăugate se numără:

• CVE-2022-22954 - un defect de execuție a codului de la distanță găsit în VMware Identity Manager și VMWare Workspace ONE Access.
• CVE-2022-22947 - o eroare de execuție a codului de la distanță Spring care a fost rezolvată ca o zi zero în martie.
• CVE-2022-1388 - o execuție de cod de la distanță în F5 BIG-IP care poate permite preluarea dispozitivului.

Majoritatea noilor exploit-uri ale lui EnemyBot sunt clasificate drept critice, în timp ce unele nici măcar nu aveau un număr CVE alocat. Aceasta este pe lângă capacitățile incluse anterior, cum ar fi profitul de infamul exploit Log4Shell.

EnemyBot este acum capabil să creeze un shell invers pe sistemele încălcate. Dacă au succes, actorii amenințărilor ar putea acum să ocolească anumite restricții de firewall și să stabilească accesul la mașinile vizate. EnemyBot deține, de asemenea, module dedicate care pot scana noi dispozitive adecvate și pot încerca să le infecteze.