Botnet Androxgh0st expande seu alcance explorando servidores universitários dos EUA

Novas descobertas do CloudSEK mostram que a botnet Androxgh0st está evoluindo. Instituições acadêmicas, incluindo a UC San Diego, foram afetadas. Descubra como essa ameaça sofisticada utiliza RCE e shells da web, e as medidas para se proteger contra ela.

Uma investigação recente da CloudSEK, compartilhada com o Hackread.com, revela uma grande evolução nas operações da botnet Androxgh0st , demonstrando um aumento acentuado em sua capacidade de comprometer sistemas. A botnet, observada pela primeira vez no início de 2023, agora utiliza uma gama mais ampla de métodos de acesso inicial, incluindo a exploração de servidores mal configurados pertencentes a instituições acadêmicas.

Vale ressaltar que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também emitiu um comunicado de segurança em janeiro de 2024, aumentando a conscientização sobre a expansão do Androxgh0st.

As descobertas da CloudSEK indicam que a botnet expandiu seu arsenal de vetores de ataque em aproximadamente 50% desde um relatório anterior de 2024. Uma descoberta preocupante foi um painel de registro de comando e controle (C2) hospedado em um subdomínio da Universidade da Califórnia, San Diego ("USArhythms"). Ele está associado a conteúdo da Seleção Americana de Basquete Masculino Sub-19.

Isso demonstra uma tendência em que operadores de botnets utilizam domínios públicos legítimos, porém vulneráveis, para hospedar sua infraestrutura maliciosa, tornando a detecção mais desafiadora. Anteriormente, a CloudSEK também relatou que a botnet hospedava seu registrador em uma plataforma agregadora de eventos jamaicana.

A botnet Androxgh0st explora vulnerabilidades conhecidas em frameworks de software populares, como Apache Shiro e Spring Framework, além de problemas em plugins do WordPress e dispositivos IoT Lantronix. Essas explorações têm consequências graves, incluindo a capacidade de executar código não autorizado, roubar informações confidenciais e até mesmo iniciar a mineração de criptomoedas em sistemas comprometidos.

A CloudSEK previu em seu primeiro relatório que os operadores do Androxgh0st introduziriam novos programas maliciosos em seu kit de ferramentas até meados de 2025, uma previsão que agora parece estar se concretizando.

De acordo com o relatório da empresa, a botnet Androxgh0st obtém acesso inicial por meio de vários Vetores de Acesso Inicial (IAVs), que são os caminhos para o sistema. Uma vez dentro, os invasores se comunicam com os dispositivos comprometidos por meio de servidores de Comando e Controle (C2). Um objetivo fundamental é a Execução Remota de Código (RCE), permitindo que eles executem seu próprio código em computadores distantes.

Isso geralmente é alcançado por meio de métodos complexos, como injeção de JNDI e injeção de OGNL, particularmente eficazes contra aplicativos baseados em Java. Essas técnicas avançadas permitem que o Androxgh0st contorne a segurança e mantenha o controle persistente, frequentemente instalando webshells.

Diante desses acontecimentos, as organizações, especialmente instituições acadêmicas e aquelas que utilizam o software afetado, são instadas a tomar medidas imediatas. A CloudSEK recomenda a aplicação de patches em todos os sistemas vulneráveis ​​aos CVEs identificados, como os que afetam o Spring4Shell e o Apache Shiro.

Restringir o tráfego de rede de saída para determinados protocolos, como RMI, LDAP e JNDI, também é crucial. Auditar regularmente plugins de sites, como o Popup Maker no WordPress, e monitorar atividades incomuns em arquivos também são etapas essenciais para prevenir e detectar comprometimentos do Androxgh0st.

“Mudando seu foco anterior em campanhas de vigilância em massa vinculadas à China para uma estratégia de exploração muito mais ampla, agora observamos a botnet incorporando agressivamente uma gama maior de vulnerabilidades de alto impacto, incluindo injeção de JNDI, exploração de OGNL, incluindo CVEs vinculados a estruturas como Apache Shiro, Spring e Fastjson”, disse Koushik Pal, Pesquisa de Ameaças da CloudSEK.