La botnet Androxgh0st espande la sua portata, sfruttando i server delle università statunitensi

I nuovi risultati di CloudSEK mostrano l'evoluzione della botnet Androxgh0st. Colpite istituzioni accademiche, tra cui l'UC San Diego. Scopri come questa minaccia sofisticata utilizza RCE e web shell e come proteggersi.

Una recente indagine condotta da CloudSEK e condivisa con Hackread.com rivela un'importante evoluzione nelle operazioni della botnet Androxgh0st , dimostrando un netto aumento della sua capacità di compromettere i sistemi. La botnet, osservata per la prima volta all'inizio del 2023, sta ora sfruttando una gamma più ampia di metodi di accesso iniziale, tra cui lo sfruttamento di server non configurati correttamente appartenenti a istituzioni accademiche.

In particolare, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso di sicurezza nel gennaio 2024, per sensibilizzare l'opinione pubblica sull'espansione di Androxgh0st.

I risultati di CloudSEK indicano che la botnet ha ampliato il suo arsenale di vettori di attacco di circa il 50% rispetto a un precedente rapporto del 2024. Una scoperta preoccupante è stata la presenza di un pannello di logger di comando e controllo (C2) ospitato su un sottodominio dell'Università della California, San Diego ("USArhythms"). È associato ai contenuti della nazionale maschile di basket U19 degli Stati Uniti.

Questo dimostra una tendenza in cui gli operatori di botnet utilizzano domini pubblici legittimi, ma vulnerabili, per ospitare la loro infrastruttura dannosa, rendendone più difficile il rilevamento. In precedenza, CloudSEK aveva anche segnalato che la botnet ospitava il suo logger su una piattaforma giamaicana di aggregazione di eventi.

La botnet Androxgh0st sfrutta vulnerabilità note in framework software popolari come Apache Shiro e Spring Framework, oltre a problemi nei plugin di WordPress e nei dispositivi IoT Lantronix. Questi exploit hanno gravi conseguenze, tra cui la possibilità di eseguire codice non autorizzato, rubare informazioni sensibili e persino avviare il mining di criptovalute su sistemi compromessi.

Nel suo primo rapporto, CloudSEK aveva previsto che gli operatori di Androxgh0st avrebbero introdotto nuovi programmi dannosi nel loro toolkit entro la metà del 2025, una previsione che ora sembra avverarsi.

Secondo il report dell'azienda, la botnet Androxgh0st ottiene l'accesso iniziale tramite diversi vettori di accesso iniziale (IAV), che rappresentano le vie di accesso a un sistema. Una volta all'interno, gli aggressori comunicano con i dispositivi compromessi tramite server di comando e controllo (C2). Un obiettivo chiave è l'esecuzione di codice in remoto (RCE), che consente loro di eseguire il proprio codice su computer distanti.

Questo risultato viene spesso ottenuto utilizzando metodi complessi come l'iniezione JNDI e l'iniezione OGNL, particolarmente efficaci contro le applicazioni basate su Java. Queste tecniche avanzate consentono ad Androxgh0st di aggirare la sicurezza e mantenere un controllo persistente, spesso installando webshell.

Alla luce di questi sviluppi, le organizzazioni, in particolare le istituzioni accademiche e coloro che utilizzano il software interessato, sono esortate ad agire immediatamente. CloudSEK raccomanda di applicare patch a tutti i sistemi vulnerabili alle vulnerabilità CVE identificate, come quelle che interessano Spring4Shell e Apache Shiro.

È fondamentale anche limitare il traffico di rete in uscita per determinati protocolli come RMI, LDAP e JNDI. Anche il controllo regolare dei plugin del sito web, come Popup Maker in WordPress, e il monitoraggio di attività insolite sui file sono passaggi fondamentali per prevenire e rilevare le compromissioni di Androxgh0st.

"Passando dal precedente focus sulle campagne di sorveglianza di massa legate alla Cina a una strategia di sfruttamento molto più ampia, ora osserviamo che la botnet sta incorporando in modo aggressivo una gamma più ampia di vulnerabilità ad alto impatto, tra cui l'iniezione JNDI, lo sfruttamento OGNL, compresi CVE legati a framework come Apache Shiro, Spring e Fastjson", ha affermato Koushik Pal, Threat Research, CloudSEK.