Rilevamento del malware EnemyBot: Il botnet IoT sfrutta più vulnerabilità

Keksec, alias Nero e Freakout, l’attore della minaccia dietro il più avanzato botnet EnemyBot, sta espandendo la sua portata sfruttando più exploit, compromettendo più organizzazioni indipendentemente dal loro settore verticale. Gli autori del malware EnemyBot hanno preso tutto il meglio e hanno lasciato indietro il codice obsoleto utilizzato in altri botnet come Gafgyt, Qbot, o Mirai.

Il botnet è attualmente utilizzato per armare le falle di sicurezza nei prodotti di fornitori come VMware, D-Link, Adobe, Zyxel, e WordPress, oltre a sfruttare vulnerabilità in server web e CMS così come in dispositivi Android e IoT. Gli avversari sfruttano i bug per essere in grado di muoversi lateralmente per penetrare più a fondo in una rete compromessa e lanciare anche attacchi di denial-of-service distribuiti (DDoS). Le nuove vulnerabilità zero-day cadono rapidamente sotto l’ombrello delle capacità di attacco di questo malware.

Rileva Malware EnemyBot

Rileva azioni dannose associate al malware EnemyBot con una regola Sigma recentemente rilasciata nel Mercato di Rilevamento delle Minacce della piattaforma SOC Prime. Il pezzo di rilevamento è fornito dal nostro sviluppatore di punta del Threat Bounty Osman Demir:

Trasferimento di strumenti di ingresso sospetto di EnemyBot (tramite file_event)

La regola è allineata al più recente framework MITRE ATT&CK® v.10, affrontando la tattica Command and Control con Ingress Tool Transfer (T1105) come tecnica principale.

Se non ti sei ancora registrato alla piattaforma ma vuoi comunque provare i nostri contenuti di rilevamento delle minacce, scopri cosa è disponibile con il motore di ricerca delle minacce informatiche. Esplora una ricca collezione di regole Sigma con contesto di minacce rilevanti e riferimenti CTI e MITRE ATT&CK ora, senza registrazione. Clicca il Approfondisci con il motore di ricerca pulsante per migliorare il rilevamento senza problemi.

Gli utenti verificati hanno accesso a più di 185K algoritmi di rilevamento e query di threat hunting allineati con più di 25 soluzioni leader di settore tra SIEM, EDR e XDR. Premi il Visualizza nella piattaforma SOC Prime pulsante per accedere alla vasta libreria di regole Sigma e YARA per esaminare i tuoi dati di sicurezza con maggiore efficienza e agilità.

Visualizza nella piattaforma SOC Prime Approfondisci con il motore di ricerca

Analisi del Malware EnemyBot

Gli attacchi EnemyBot sono stati rilevati dai ricercatori di sicurezza all’inizio della primavera del 2022. Gli analisti di Securonix sono stati i primi a documentare il nuovo botnet basato su Linux a marzo 2022, seguiti da Fortinet and rapporti di AT&T Log4j o una recente grave falla in F5 BIG-IP.

Il botnet ha quattro moduli. La prima sezione contiene lo script python, utilizzato per recuperare tutte le dipendenze e creare il malware per varie architetture OS. Il secondo modulo è il codice sorgente principale del botnet. La terza sezione è un segmento di offuscamento, e l’ultima include il componente di comando e controllo. Una volta nel sistema, il malware si connette al server C&C per istruzioni, che potrebbero includere la diffusione a nuovi dispositivi, l’esecuzione di attacchi DDoS e l’esecuzione di comandi shell.

Va anche menzionato che il codice sorgente di base per EnemyBot è pubblicato su Github, quindi attori di minacce al di fuori del gruppo Keksec possono usare il botnet nei loro attacchi.

Pronto a esplorare il set di strumenti completo per i professionisti SOC e vedere il Detection as Code in azione? Registrati alla piattaforma SOC Prime per accedere ai vantaggi dell’unico Marketplace di Rilevamento delle Minacce dove i ricercatori monetizzano i loro contenuti.