Os agentes de ameaças por trás do malware AndroxGh0st agora estão explorando um conjunto mais amplo de falhas de segurança que afetam aplicativos voltados para a Internet, enquanto exploram o malware botnet Mozi.
“Este botnet usa criptografia remota e técnicas de roubo de credenciais para manter acesso contínuo, explorando vulnerabilidades não corrigidas para se infiltrar em infraestruturas críticas”, disse CloudSEK em um novo relatório.
AndroxGh0st é o nome dado a uma ferramenta de ataque em nuvem baseada em Python, conhecida por direcionar aplicativos Laravel para dados confidenciais relacionados a serviços como Amazon Web Services (AWS), SendGrid e Twililio.
Ativo desde pelo menos 2022, anteriormente incluía falhas no servidor web Apache (CVE-2021-41773), Laravel Framework (CVE-2018-15133) e PHPUnit (CVE-2017-9841) para obter acesso inicial, aumentando os direitos . e estabeleça controle contínuo sobre sistemas comprometidos.
No início de março, as agências de segurança cibernética dos EUA revelaram que os invasores usaram o malware AndroxGh0st para criar uma botnet para “identificar vítimas e explorações nas redes alvo”.
A análise mais recente da CloudSEK revela uma expansão das estratégias de segmentação direcionada, com o malware agora aproveitando a vulnerabilidade de primeiro acesso –
- CVE-2014-2120 (pontuação CVSS: 4,3) – Página de login Cisco ASA WebVPN para XSS
- CVE-2018-10561 (pontuação CVSS: 9,8) – Vulnerabilidade de desvio de autenticação Dasan GPON
- CVE-2018-10562 (pontuação CVSS: 9,8) – Vulnerabilidade de injeção Dasan GPON
- CVE-2021-26086 (pontuação CVSS: 5,3) – Vulnerabilidade de passagem de caminho do Atlassian Jira
- CVE-2021-41277 (pontuação CVSS: 7,5) – Vulnerabilidade do mapa de localização GeoJSON da metabase no arquivo de localização
- CVE-2022-1040 (pontuação CVSS: 9,8) – Vulnerabilidade de desvio do Firewall Sophos
- CVE-2022-21587 (pontuação CVSS: 9,8) – Vulnerabilidade de upload de arquivo não autorizado do Oracle E-Business Suite (EBS)
- CVE-2023-1389 (pontuação CVSS: 8,8) – Vulnerabilidade de injeção de firmware TP-Link Archer AX21
- CVE-2024-4577 (pontuação CVSS: 9,8) – Vulnerabilidade de injeção PHP CGI
- CVE-2024-36401 (pontuação CVSS: 9,8) – Vulnerabilidade de assinatura de código GeoServer
“A botnet circula com nomes de usuário administrativos comuns e usa um padrão de senha consistente”, disse a empresa. “O URL de destino redireciona para /wp-admin/, que é o painel de administração de back-end para sites WordPress. Se a autenticação for bem-sucedida, ele obtém acesso a controles e configurações importantes do site.”
Este ataque também foi observado usando erros de execução de comando não autorizados em dispositivos Netgear DGN e roteadores domésticos Dasan GPON para descartar uma carga chamada “Mozi.m” em diferentes servidores externos (“200.124.241)[.]140” e “117.215.206[.]216”).
Mozi é outro botnet bem conhecido com um histórico de hackeamento de dispositivos IoT para combiná-los em uma rede maliciosa, realizando ataques distribuídos de negação de serviço (DDoS).
Embora os autores do malware tenham sido presos pelas autoridades chinesas em setembro de 2021, um declínio significativo na atividade do Mozi não foi observado até agosto de 2023, quando indivíduos desconhecidos emitiram uma ordem de eliminação para eliminar o malware. Suspeita-se que os criadores da botnet ou as autoridades chinesas tenham distribuído a atualização para retirá-la.
A integração AndroxGh0st do Mozi aumentou a possibilidade de interoperabilidade, permitindo assim que ele se espalhe para mais dispositivos do que antes.
“O AndroxGh0st não apenas se integra ao Mozi, mas também incorpora funções específicas do Mozi (por exemplo, métodos de infecção e distribuição de IoT) em seu conjunto padrão de funções”, disse CloudSEK.
“Isso pode significar que o AndroxGh0st foi estendido para usar os recursos de streaming do Mozi para infectar vários dispositivos IoT, usando a carga útil do Mozi para atingir objetivos que, de outra forma, exigiriam diferentes métodos de infecção”.
“Se ambas as botnets utilizam a mesma infra-estrutura de comando, isso aponta para um elevado nível de integração operacional, o que provavelmente significa que tanto o AndroxGh0st como o Mozi estão sob o controlo do mesmo grupo cibercriminoso. Esta infra-estrutura partilhada pode facilitar o controlo de uma vasta gama de dispositivos, melhorando a eficiência e a eficácia de suas atividades combinadas de botnets.”
