Ботнет Androxgh0st расширяет свое присутствие, используя серверы университетов США

Новые данные CloudSEK показывают, что ботнет Androxgh0st развивается. Академические учреждения, включая Калифорнийский университет в Сан-Диего, подверглись атаке. Узнайте, как эта сложная угроза использует RCE и веб-шеллы, а также шаги по защите от нее.

Недавнее расследование CloudSEK, которым поделился Hackread.com, выявило значительную эволюцию в операциях ботнета Androxgh0st , продемонстрировав резкое увеличение его способности компрометировать системы. Ботнет, впервые обнаруженный в начале 2023 года, теперь использует более широкий спектр методов первоначального доступа, включая эксплуатацию неправильно настроенных серверов, принадлежащих академическим учреждениям.

Примечательно, что Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) также выпустило в январе 2024 года рекомендацию по безопасности, повышая осведомленность о расширении Androxgh0st.

Результаты исследования CloudSEK показывают, что ботнет расширил свой арсенал векторов атак примерно на 50% с момента более раннего отчета в 2024 году. Тревожным открытием стала панель логгера командования и управления (C2), размещенная на поддомене Калифорнийского университета в Сан-Диего («USArhythms»). Она связана с контентом для национальной сборной США по баскетболу среди мужчин до 19 лет.

Это показывает тенденцию, когда операторы ботнетов используют законные, но уязвимые публичные домены для размещения своей вредоносной инфраструктуры, что затрудняет обнаружение. Ранее CloudSEK также сообщал о ботнете, размещающем свой логгер на ямайской платформе агрегатора событий.

Ботнет Androxgh0st использует известные уязвимости в популярных программных фреймворках, таких как Apache Shiro и Spring Framework, а также проблемы в плагинах WordPress и устройствах Lantronix IoT. Эти эксплойты имеют серьезные последствия, включая возможность запуска несанкционированного кода, кражи конфиденциальной информации и даже инициирования майнинга криптовалюты на скомпрометированных системах.

CloudSEK в своем первом отчете предсказал, что операторы Androxgh0st добавят новые вредоносные программы в свой инструментарий к середине 2025 года, и теперь этот прогноз, похоже, сбывается.

Согласно отчету компании, ботнет Androxgh0st получает начальный доступ через различные векторы начального доступа (IAV), которые являются путями в систему. Оказавшись внутри, злоумышленники взаимодействуют со скомпрометированными устройствами через серверы управления и контроля (C2). Ключевой целью является удаленное выполнение кода (RCE), что позволяет им запускать свой собственный код на удаленных компьютерах.

Это часто достигается с помощью сложных методов, таких как JNDI Injection и OGNL Injection, особенно эффективных против приложений на основе Java. Эти продвинутые методы позволяют Androxgh0st обходить безопасность и сохранять постоянный контроль, часто устанавливая веб-шеллы.

В свете этих событий организации, особенно академические учреждения и те, кто использует уязвимое программное обеспечение, настоятельно призываются принять немедленные меры. CloudSEK рекомендует установить исправления на все системы, уязвимые для выявленных CVE, например, влияющих на Spring4Shell и Apache Shiro.

Также важно ограничить исходящий сетевой трафик для определенных протоколов, таких как RMI, LDAP и JNDI. Регулярный аудит плагинов веб-сайта, таких как Popup Maker в WordPress, и мониторинг необычной активности файлов также являются важными шагами в предотвращении и обнаружении компрометаций Androxgh0st.

«Сместившись с прежнего акцента на массовые кампании слежки, связанные с Китаем, на гораздо более широкую стратегию эксплуатации, мы теперь наблюдаем, как ботнет агрессивно внедряет более широкий спектр уязвимостей с высоким уровнем воздействия, включая внедрение JNDI, эксплуатацию OGNL, в том числе CVE, привязанные к таким фреймворкам, как Apache Shiro, Spring и Fastjson», — сказал Коушик Пал, специалист по исследованию угроз в CloudSEK.