Vulnerabilidade de IoT herdada do Mozi
Outra adição interessante ao seu arsenal é uma série de funções de vulnerabilidade para vários roteadores domésticos e redes ópticas passivas gigabit (GPON) distribuídas por ISPs. Isso inclui uma injeção de comando não autorizada (CVE-2023-1389) no TP-Link Archer AX21, uma falha de decodificação remota no OptiLink ONT1GEW GPON e uma vulnerabilidade de injeção de comando não autorizada em dispositivos Netgear DGN, bem como duas vulnerabilidades no Dassan, o – Roteador doméstico GPON. bypass de validação e injeção de comando.
Algumas dessas explorações e cargas parecem ter sido herdadas de Mozi, o bonnet nascido na China, cujos criadores teriam sido presos pelas autoridades chinesas em 2021. Após a ação legal, uma atualização foi lançada para os clientes do botnet Mozi que interrompeu suas capacidades. para se conectar à Internet, desativando assim a botnet e deixando apenas uma pequena fração dos nós ativos.
“É possível que o Androxgh0st tenha integrado totalmente a carga útil do Mozi como um módulo dentro de sua arquitetura de botnet”, disseram os pesquisadores do CloudSEK. “Neste caso, o Androxgh0st não apenas se integra ao Mozi, mas também incorpora funcionalidades específicas do Mozi (por exemplo, métodos de infecção e distribuição de IoT) em seu conjunto padrão de funções.”
