EnemyBot

EnemyBot es una botnet amenazante que los ciberdelincuentes utilizan principalmente para lanzar ataques DDoS (Distributed Denial-of-Service). La botnet salió a la luz por primera vez en un informe de seguridad de los investigadores de Securinox. Sin embargo, solo un mes después, Fortinet observó nuevas muestras de EnemyBot con capacidades de intrusión ampliadas que abarcaban fallas en más de una docena de arquitecturas diferentes.

Los desarrolladores del malware no se han ralentizado desde entonces, y un informe de AT&T Alien Labs muestra que las variantes de EnemyBot ahora pueden explotar 24 vulnerabilidades adicionales. Las fallas de seguridad recién incorporadas pueden afectar a servidores web, dispositivos IoT (Internet de las cosas), dispositivos Android y sistemas de administración de contenido.

Entre las vulnerabilidades añadidas se encuentran:

• CVE-2022-22954: una falla de ejecución remota de código encontrada en VMware Identity Manager y VMWare Workspace ONE Access.
• CVE-2022-22947: una falla de ejecución remota de código de Spring que se abordó como un día cero en marzo.
• CVE-2022-1388: una ejecución remota de código en F5 BIG-IP que puede permitir la toma de control del dispositivo.

La mayoría de los nuevos exploits de EnemyBot se clasifican como críticos, mientras que algunos ni siquiera tenían asignado un número CVE. Esto se suma a las capacidades incluidas anteriormente, como aprovechar el infame exploit Log4Shell.

EnemyBot ahora también es capaz de crear un caparazón inverso en los sistemas violados. Si tiene éxito, los actores de amenazas ahora podrían eludir ciertas restricciones de firewall y establecer acceso a las máquinas objetivo. EnemyBot también posee módulos dedicados que pueden buscar nuevos dispositivos adecuados e intentar infectarlos.