EnemyBot, una botnet basada en múltiples muestras de malware, ha estado expandiendo su alcance al agregar rápidamente nuevos exploits para las vulnerabilidades críticas, que recientemente se han revelado, y que podrían comprometer a diferentes servidores web, sistemas de administración de contenido, dispositivos IoT, cómo también, sistemas basados en Android.
La información sobre los nuevos exploits viene gracias a un informe lanzado por la empresa de ciberseguridad, AT&T Alien Labs, señalando que las últimas variantes de EnemyBot incorporan exploits para 24 vulnerabilidades. La mayoría de ellos son críticas, pero hay varios que ni siquiera tienen un ID CVE, lo que hace que sea más difícil para los analistas y expertos en seguridad en implementar las medidas de seguridad correspondientes a estos casos.
Algunos de los exploits agregados recientemente en EnemyBot son las siguientes:
- CVE-2022-22954 – (CVSS: 9.8 /10.0): Ejecución remota de código que afecta a VMware Workspace ONE Access y VMware Identity Manager.
- CVE-2022-22947 – (CVSS: 10.0/10.0): Falla de ejecución remota de código que afecta a Spring VMware.
- CVE-2022-1388 – (CVSS: 9.8/10.0): Ejecución remota de código que afecta a los productos de F5 BIG-IP.
Imagen: AT&T Alien Labs
Keksec, el grupo detrás de EnemyBot, es el encargado del desarrollo y mantenimiento del malware, y estima que tiene otros proyectos maliciosos en su haber. Cómo Tsunami, Gafgyt, DarkHTTP, DarkIRC y Necro.
Parece ser que el autor del malware es alguien muy experimentado en este campo, ya que muestra un especial cuidado con su nuevo proyecto, agregando nuevos exploits de vulnerabilidades tan pronto como surgen, a menudo antes de que los administradores de sistemas tengan la oportunidad de aplicar los respectivos parches a sus sistemas expuestos en la red.
Para empeorar las cosas, AT&T informa que alguien, probablemente estrechamente cercano a Keksec, ha lanzado el código fuente de EnemyBot, poniéndolo a disposición de cualquier desarrollador de malware y crear su propia variante de EnemyBot.
La botnet fue descubierta por primera vez en el mes de marzo por los investigadores de la empresa Securonix, y en abril surgió el análisis de las muestras más recientes de esta botnet. EnemyBot ya había integrado otras vulnerabilidades para más de una docena de arquitecturas de procesadores. Su objetivo principal es la de realizar Ataques de Denegación de Servicios (DDoS) y el malware también tiene módulos para escanear nuevos dispositivos e infectarlos posteriormente. Algo muy parecido a lo que hacia Mirai Botnet.
Las recomendaciones para protegerse contra este tipo de amenaza incluyen la aplicación de parches a los productos de software tan pronto como las actualizaciones estén disponibles y la supervisión del tráfico de red, incluidas las conexiones salientes a Internet.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
