EnemyBot

EnemyBot est un botnet menaçant que les cybercriminels utilisent principalement pour lancer des attaques DDoS (Distributed Denial-of-Service). Le botnet a été mis au jour pour la première fois dans un rapport de sécurité par les chercheurs de Securinox. Cependant, à peine un mois plus tard, Fortinet a observé de nouveaux échantillons d'EnemyBot avec des capacités d'intrusion étendues qui englobaient des failles pour plus d'une douzaine d'architectures différentes.

Les développeurs du malware n'ont pas ralenti depuis, et un rapport d'AT&T Alien Labs montre que les variantes d'EnemyBot peuvent désormais exploiter 24 vulnérabilités supplémentaires. Les failles de sécurité nouvellement incorporées peuvent affecter les serveurs Web, les appareils IoT (Internet des objets), les appareils Android et les systèmes de gestion de contenu.

Parmi les vulnérabilités ajoutées figurent :

• CVE-2022-22954 - une faille d'exécution de code à distance trouvée dans VMware Identity Manager et VMWare Workspace ONE Access.
• CVE-2022-22947 - une faille d'exécution de code à distance Spring qui a été traitée comme un jour zéro en mars.
• CVE-2022-1388 - une exécution de code à distance dans F5 BIG-IP qui peut permettre la prise de contrôle de l'appareil.

La plupart des nouveaux exploits d'EnemyBot sont classés comme critiques alors que certains n'ont même pas de numéro CVE. Cela s'ajoute aux fonctionnalités précédemment incluses, telles que l'exploitation du tristement célèbre exploit Log4Shell.

EnemyBot est désormais également capable de créer un reverse shell sur les systèmes piratés. En cas de succès, les acteurs de la menace pourraient désormais être en mesure de contourner certaines restrictions de pare-feu et d'établir un accès aux machines ciblées. EnemyBot possède également des modules dédiés qui peuvent rechercher de nouveaux appareils appropriés et tenter de les infecter.