Androxgh0st-botnet breidt bereik uit door misbruik te maken van servers van Amerikaanse universiteiten

Nieuwe bevindingen van CloudSEK tonen aan dat het Androxgh0st-botnet zich ontwikkelt. Academische instellingen, waaronder UC San Diego, worden getroffen. Ontdek hoe deze geavanceerde dreiging RCE en webshells gebruikt, en welke stappen u kunt ondernemen om u ertegen te beschermen.

Een recent onderzoek van CloudSEK, gedeeld met Hackread.com, onthult een belangrijke evolutie in de werking van het Androxgh0st- botnet, wat een sterke toename van het vermogen ervan om systemen te compromitteren aantoont. Het botnet, dat begin 2023 voor het eerst werd waargenomen, maakt nu gebruik van een breder scala aan initiële toegangsmethoden, waaronder het misbruiken van verkeerd geconfigureerde servers van academische instellingen.

Opvallend is dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in januari 2024 ook een beveiligingsadvies uitbracht om meer bekendheid te geven aan de uitbreiding van Androxgh0st.

De bevindingen van CloudSEK geven aan dat het botnet zijn arsenaal aan aanvalsvectoren met ongeveer 50% heeft uitgebreid sinds een eerder rapport uit 2024. Een verontrustende ontdekking was een command-and-control (C2) loggerpaneel dat gehost werd op een subdomein van de University of California, San Diego ("USArhythms"). Het is gekoppeld aan content voor het Amerikaanse basketbalteam onder 19.

Dit toont een trend aan waarbij botnetbeheerders legitieme, maar kwetsbare, publieke domeinen gebruiken om hun kwaadaardige infrastructuur te hosten, waardoor detectie lastiger wordt. Eerder meldde CloudSEK ook al dat het botnet zijn logger host op een Jamaicaans platform voor het verzamelen van gebeurtenissen.

Het Androxgh0st-botnet maakt gebruik van bekende kwetsbaarheden in populaire softwareframeworks zoals Apache Shiro en Spring Framework, evenals problemen met WordPress-plug-ins en Lantronix IoT-apparaten. Deze exploits hebben ernstige gevolgen, waaronder de mogelijkheid om ongeautoriseerde code uit te voeren, gevoelige informatie te stelen en zelfs cryptocurrency mining te starten op gecompromitteerde systemen.

CloudSEK voorspelde in zijn eerste rapport dat Androxgh0st-operators tegen medio 2025 nieuwe schadelijke programma's aan hun toolkit zouden toevoegen. Een voorspelling die nu lijkt te kloppen.

Volgens het rapport van het bedrijf verkrijgt het Androxgh0st-botnet initiële toegang via verschillende Initial Access Vectors (IAV's), de toegangswegen tot een systeem. Eenmaal binnen communiceren aanvallers met gecompromitteerde apparaten via Command-and-Control (C2)-servers. Een belangrijk doel is Remote Code Execution (RCE), waarmee ze hun eigen code op externe computers kunnen uitvoeren.

Dit wordt vaak bereikt met behulp van complexe methoden zoals JNDI-injectie en OGNL-injectie, die bijzonder effectief zijn tegen Java-applicaties. Deze geavanceerde technieken stellen Androxgh0st in staat de beveiliging te omzeilen en blijvende controle te behouden, vaak door webshells te installeren.

In het licht van deze ontwikkelingen worden organisaties, met name academische instellingen en gebruikers van de getroffen software, dringend verzocht onmiddellijk actie te ondernemen. CloudSEK adviseert om alle systemen die kwetsbaar zijn voor de geïdentificeerde CVE's, zoals die welke Spring4Shell en Apache Shiro treffen, te patchen.

Het beperken van uitgaand netwerkverkeer voor bepaalde protocollen zoals RMI, LDAP en JNDI is ook cruciaal. Het regelmatig controleren van websiteplug-ins, zoals Popup Maker in WordPress, en het monitoren op ongebruikelijke bestandsactiviteit zijn eveneens essentiële stappen in het voorkomen en detecteren van Androxgh0st-compromissen.

"Doordat de focus eerder verschoof van massasurveillancecampagnes met Chinese connecties naar een veel bredere exploitatiestrategie, zien we nu dat het botnet op agressieve wijze een breder scala aan kwetsbaarheden met een grote impact integreert, waaronder JNDI-injectie, OGNL-exploitatie en CVE's die gekoppeld zijn aan frameworks zoals Apache Shiro, Spring en Fastjson", aldus Koushik Pal, Threat Research bij CloudSEK.