Enemybot : un nouveau botnet hybride Mirai, Gafgyt entre en scène

Un nouveau botnet cible les routeurs, les appareils de l’Internet des objets (IoT) et un éventail d’architectures de serveur.

Le 12 avril, des chercheurs en cybersécurité de FortiGuard Labs ont déclaré que le nouveau botnet de déni de service distribué (DDoS), surnommé Enemybotemprunte des modules au code source du tristement célèbre botnet Mirai, aux côtés de celui de Gafgyt.

Le botnet Mirai était responsable d’une attaque DDoS massive contre Dyna en 2016. Le code source de Mirai a été divulgué en ligne la même année, et même maintenant, les botnets utilisant des parties du réseau malveillant continuent d’être des armes de choix pour les acteurs de la menace.

Le code Gafgyt/Bashlite est également public, et selon FortiGuard, le nouvel Enemybot utilise des éléments des deux botnets dans ses attaques, rejoindre les goûts de Okiru, Satori et Masuta.

Keksec est considéré comme l’opérateur du botnet. Keksec, également connu sous le nom de Necro ou Freakout, est un groupe de menaces prolifique lié aux attaques DDoS, aux cyberattaques contre les fournisseurs de services cloud et aux campagnes de cryptojacking.

Selon à la dentellele groupe de menaces est également le développeur d’une variante de malware Tsunami DDoS appelée “Ryuk”, bien qu’il ne faille pas la confondre avec la famille des ransomwares Ryuk.

Enemybot a été découvert pour la première fois en mars 2022. Le botnet utilise le module scanner et le bot killer de Mirai, qui vérifie les processus en cours d’exécution en mémoire et met fin à tous les concurrents en fonction d’une sélection de mots-clés.

L’équipe a décrit le botnet comme une “variante mise à jour et “renommée” de Gafgyt_tor” en raison de sa forte dépendance aux fonctions de botnet provenant de la base de code de Gafgyt.

Enemybot tentera de compromettre un large éventail d’appareils et d’architectures grâce à des techniques telles que les attaques par force brute et l’exploitation des vulnérabilités.

Les routeurs Seowon Intech, D-Link, Netgear, Zhone et D-Link sont ciblés, ainsi que les routeurs mobiles iRZ et les appareils Android mal configurés. Les acteurs de la menace essaieront d’exploiter à la fois les anciennes vulnérabilités corrigées et les nouveaux problèmes de sécurité tels que Log4j.

En ce qui concerne l’architecture, Enemybot n’est pas trop pointilleux. Les systèmes de bureau et de serveur sur arm, arm64, Darwin et BSD sont attaqués, ainsi que de nombreux autres.

“Ce mélange d’exploits ciblant les serveurs Web et les applications au-delà des appareils IoT habituels, associé à la large gamme d’architectures prises en charge, pourrait être un signe que Keksec teste la viabilité de l’expansion du botnet au-delà des appareils IoT à faibles ressources pour plus que de simples attaques DDoS .” “, disent les chercheurs.

Une fois que le logiciel malveillant a compromis un appareil ou un serveur, un fichier texte est chargé avec des messages en clair, tels que : “ENEMEYBOT V3.1-ALCAPONE – hail KEKSEC, ALSO U GOT hCkED MY [REDACTED] (Votre appareil a littéralement la sécurité d’un [shitty device] / [smart doorbell]).”

Enemybot récupère ensuite les fichiers binaires, en fonction de l’architecture cible, et exécute une gamme de commandes liées aux DDoS.

Le logiciel malveillant peut également utiliser une gamme de méthodes d’obscurcissement pour entraver l’analyse et masquer sa présence. Le serveur de commande et de contrôle (C2) du botnet est hébergé sur un domaine .onion, uniquement accessible via le réseau Tor.

Enemybot est toujours en développement actif.

“Nous nous attendons à ce que des versions plus mises à jour soient bientôt distribuées dans la nature”, déclarent les chercheurs. “FortiGuard Labs continuera à surveiller ce botnet.”

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment