Blog

La Botnet EnemyBot agrega nuevos Exploits para sus ataques – VMware y F5 BIG-IP

EnemyBot, una botnet basada en múltiples muestras de malware, ha estado expandiendo su alcance al agregar rápidamente nuevos exploits para las vulnerabilidades críticas, que recientemente se han revelado, y que podrían comprometer a diferentes servidores web, sistemas de administración de contenido, dispositivos IoT, cómo también, sistemas basados en Android.

La información sobre los nuevos exploits viene gracias a un informe lanzado por la empresa de ciberseguridad, AT&T Alien Labs, señalando que las últimas variantes de EnemyBot incorporan exploits para 24 vulnerabilidades. La mayoría de ellos son críticas, pero hay varios que ni siquiera tienen un ID CVE, lo que hace que sea más difícil para los analistas y expertos en seguridad en implementar las medidas de seguridad correspondientes a estos casos.

Algunos de los exploits agregados recientemente en EnemyBot son las siguientes:

  • CVE-2022-22954(CVSS: 9.8 /10.0): Ejecución remota de código que afecta a VMware Workspace ONE Access y VMware Identity Manager.
  • CVE-2022-22947 – (CVSS: 10.0/10.0): Falla de ejecución remota de código que afecta a Spring VMware.
  • CVE-2022-1388 – (CVSS: 9.8/10.0): Ejecución remota de código que afecta a los productos de F5 BIG-IP.

Código fuente de EnemyBot para explotar la vulnerabilidad CVE-2022-22954 
Imagen: AT&T Alien Labs

Keksec, el grupo detrás de EnemyBot, es el encargado del desarrollo y mantenimiento del malware, y estima que tiene otros proyectos maliciosos en su haber. Cómo Tsunami, Gafgyt, DarkHTTP, DarkIRC y Necro.

Parece ser que el autor del malware es alguien muy experimentado en este campo, ya que muestra un especial cuidado con su nuevo proyecto, agregando nuevos exploits de vulnerabilidades tan pronto como surgen, a menudo antes de que los administradores de sistemas tengan la oportunidad de aplicar los respectivos parches a sus sistemas expuestos en la red.

Para empeorar las cosas, AT&T informa que alguien, probablemente estrechamente cercano a Keksec, ha lanzado el código fuente de EnemyBot, poniéndolo a disposición de cualquier desarrollador de malware y crear su propia variante de EnemyBot.

La botnet fue descubierta por primera vez en el mes de marzo por los investigadores de la empresa Securonix, y en abril surgió el análisis de las muestras más recientes de esta botnet. EnemyBot ya había integrado otras vulnerabilidades para más de una docena de arquitecturas de procesadores. Su objetivo principal es la de realizar Ataques de Denegación de Servicios (DDoS) y el malware también tiene módulos para escanear nuevos dispositivos e infectarlos posteriormente. Algo muy parecido a lo que hacia Mirai Botnet.

Las recomendaciones para protegerse contra este tipo de amenaza incluyen la aplicación de parches a los productos de software tan pronto como las actualizaciones estén disponibles y la supervisión del tráfico de red, incluidas las conexiones salientes a Internet.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required