Botnet Androxgh0st rozszerza zasięg, wykorzystując serwery uniwersytetów USA

Nowe odkrycia CloudSEK pokazują ewolucję botnetu Androxgh0st. Uderzyły w niego instytucje akademickie, w tym UC San Diego. Dowiedz się, jak to wyrafinowane zagrożenie wykorzystuje RCE i powłoki internetowe oraz jakie kroki należy podjąć, aby się przed nim chronić.

Niedawne dochodzenie przeprowadzone przez CloudSEK, którym podzielił się z Hackread.com, ujawnia znaczącą ewolucję w działaniu botnetu Androxgh0st , co pokazuje gwałtowny wzrost jego zdolności do naruszania systemów. Botnet, po raz pierwszy zaobserwowany na początku 2023 r., wykorzystuje teraz szerszy wachlarz metod początkowego dostępu, w tym eksploatację błędnie skonfigurowanych serwerów należących do instytucji akademickich.

Warto odnotować, że w styczniu 2024 r. amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) również wydała ostrzeżenie dotyczące bezpieczeństwa, zwiększając świadomość na temat ekspansji Androxgh0st.

Wyniki CloudSEK wskazują, że botnet rozszerzył swój arsenał wektorów ataku o około 50% od wcześniejszego raportu z 2024 r. Niepokojącym odkryciem był panel rejestratora poleceń i kontroli (C2) hostowany na subdomenie University of California, San Diego („USArhythms”). Jest on powiązany z treścią dla męskiej drużyny narodowej USA Basketball U19.

Pokazuje to trend, w którym operatorzy botnetów wykorzystują legalne, ale podatne domeny publiczne do hostowania swojej złośliwej infrastruktury, co utrudnia wykrywanie. Wcześniej CloudSEK również informował, że botnet hostuje swój rejestrator na jamajskiej platformie agregującej zdarzenia.

Botnet Androxgh0st wykorzystuje dobrze znane luki w popularnych frameworkach oprogramowania, takich jak Apache Shiro i Spring Framework, a także problemy wtyczek WordPress i urządzeń IoT Lantronix. Te exploity mają poważne konsekwencje, w tym możliwość uruchamiania nieautoryzowanego kodu, kradzieży poufnych informacji, a nawet inicjowania wydobywania kryptowalut w zainfekowanych systemach.

CloudSEK przewidział w swoim pierwszym raporcie, że operatorzy Androxgh0st wprowadzą nowe złośliwe programy do swojego zestawu narzędzi do połowy 2025 r. i prognoza ta zdaje się teraz spełniać.

Według raportu firmy, botnet Androxgh0st uzyskuje początkowy dostęp poprzez różne wektory początkowego dostępu (IAV), które są ścieżkami do systemu. Po wejściu do środka atakujący komunikują się z zainfekowanymi urządzeniami za pośrednictwem serwerów poleceń i kontroli (C2). Kluczowym celem jest zdalne wykonywanie kodu (RCE), co umożliwia im uruchamianie własnego kodu na odległych komputerach.

Często osiąga się to za pomocą złożonych metod, takich jak wstrzykiwanie JNDI i wstrzykiwanie OGNL, szczególnie skutecznych w przypadku aplikacji opartych na Javie. Te zaawansowane techniki pozwalają Androxgh0st ominąć zabezpieczenia i utrzymać trwałą kontrolę, często poprzez instalowanie webshellów.

W świetle tych wydarzeń organizacje, zwłaszcza instytucje akademickie i te korzystające z oprogramowania, którego dotyczy problem, są wzywane do podjęcia natychmiastowych działań. CloudSEK zaleca załatanie wszystkich systemów podatnych na zidentyfikowane luki CVE, takie jak te dotyczące Spring4Shell i Apache Shiro.

Ograniczenie ruchu sieciowego wychodzącego dla niektórych protokołów, takich jak RMI, LDAP i JNDI, jest również kluczowe. Regularne audytowanie wtyczek witryn, takich jak Popup Maker w WordPressie, i monitorowanie nietypowej aktywności plików to również kluczowe kroki w zapobieganiu i wykrywaniu zagrożeń Androxgh0st.

„Przechodząc od wcześniejszego skupienia na kampaniach masowej inwigilacji powiązanych z Chinami do znacznie szerszej strategii eksploatacji, obserwujemy obecnie, jak botnet agresywnie włącza szerszy wachlarz luk o dużym wpływie, w tym wstrzykiwanie JNDI, eksploatację OGNL, w tym luki CVE powiązane z frameworkami takimi jak Apache Shiro, Spring i Fastjson” — powiedział Koushik Pal, Threat Research, CloudSEK.