Una botnet naciente basada en Linux llamada Enemybot ha ampliado sus capacidades para incluir vulnerabilidades de seguridad recientemente reveladas en su arsenal para apuntar a servidores web, dispositivos Android y sistemas de administración de contenido (CMS).
Segun AT&T Alien Labs “El malware está adoptando rápidamente vulnerabilidades de un día como parte de sus capacidades de explotación”. Cabe destacar que este esta apuntando a servicios como VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase y más, así como a dispositivos IoT y Android".
El grupo detrás de EnemyBot es Keksec , una colección de desarrolladores experimentados, también conocidos como Nero y Freakout, que existen desde 2016 y han lanzado una serie de bots basados en Linux y Windows capaces de lanzar denegación de servicio distribuida (DDoS). ) ataques y posiblemente minería de criptomonedas. Securonix escribió por primera vez sobre EnemyBot en marzo.
La mayor parte de la funcionalidad de EnemyBot se relaciona con las capacidades de propagación del malware, así como con su capacidad para escanear activos públicos y buscar dispositivos vulnerables. Sin embargo, el malware también tiene capacidades DDoS y puede recibir comandos para descargar y ejecutar nuevos códigos (módulos) de sus operadores que le dan más funcionalidad al malware.
Esta última variante viene con un escáner que sondea los dispositivos públicos y los servidores web en busca de cualquiera de las 24 vulnerabilidades antes mencionadas para explotar el equipo de control. Entre estos exploits se encuentra uno para una falla crítica de ejecución remota de código (RCE) (CVE-2022-22954) de abril que afecta Workspace ONE Access y VMware Identity Manager de VMware.
Enemybot de Keksec parece estar comenzando a propagarse, sin embargo, debido a las rápidas actualizaciones de los autores, esta botnet tiene el potencial de convertirse en una gran amenaza para los dispositivos IoT y los servidores web y esto indica que el grupo Keksec cuenta con buenos recursos y que ha desarrollado el malware para aprovechar las vulnerabilidades antes de que se parcheen, aumentando así la velocidad y la escala a la que se puede propagar por lo que debemos tomar medidas de seguridad para protegernos contra este.