Un nouveau botnet dangereux ajoute de nouvelles façons d’infecter les terminaux vulnérables presque tous les jours, selon les chercheurs.
Plusieurs équipes de recherche en cybersécurité ont repéré un botnet appelé EnemyBot en mars de cette année, et dans un premier temps, il s’est avéré qu’il abusait des vulnérabilités critiques des serveurs Web, des plates-formes CMS, des smartphones Android et des appareils Internet des objets (IoT).
Depuis lors, les chercheurs ont suivi le développement du botnet et ont découvert que ses créateurs ajoutaient rapidement des vulnérabilités nouvellement découvertes à la liste des vecteurs d’attaque.
Le dernier rapport, provenant d’AT&T Alien Labs, indique que 24 nouvelles vulnérabilités ont été ajoutées, dont certaines qui n’ont même pas encore de numéro CVE, ce qui les rend extrêmement dangereuses.
Attaques DDoS
Parmi les défauts, comme le note BleepOrdinateur, Il existe plusieurs vulnérabilités critiques dans VMware Workspace ONE access et VMware Identity Manager, ainsi que F5 BIG-IP.
Bien que l’objectif principal du botnet soit d’exécuter des attaques par déni de service distribué (DDoS), il permet également aux opérateurs de créer un shell inversé sur l’appareil cible, en contournant les pare-feu et autres mécanismes de défense.
Le groupe derrière EnemyBot semble être Keksec, un acteur menaçant également connu sous le nom de Necro, & Freakout. Il est surtout connu pour avoir exploité le malware Tsunami DDoS surnommé « Ryuk » (à ne pas confondre avec le malware (s’ouvre dans un nouvel onglet) du même nom).
Selon Ordinateur qui bipecela semble être un groupe expérimenté, qui semble avoir récemment publié le code source du botnet.
Pour se protéger contre une attaque DDoS, il est conseillé aux organisations de corriger leurs systèmes d’exploitation et leurs logiciels dès que possible, d’installer un pare-feu et de surveiller le trafic réseau, et de s’assurer que tous les appareils sont protégés par un service antivirus.
Via BleepingComputer (s’ouvre dans un nouvel onglet)