Os atores de ameaças por trás do malware AndroxGh0st estão agora explorando um conjunto mais amplo de falhas de segurança que afetam várias aplicações voltadas para a internet, enquanto também implementam o malware do botnet Mozi.
"Este botnet utiliza métodos de execução remota de código e roubo de credenciais para manter acesso persistente, aproveitando vulnerabilidades não corrigidas para infiltrar-se em infraestruturas críticas," disse a CloudSEK em um novo relatório.
AndroxGh0st é o nome dado a uma ferramenta de ataque baseada em Python, conhecida por mirar em aplicações Laravel com o objetivo de dados sensíveis relacionados a serviços como Amazon Web Services (AWS), SendGrid e Twilio.
Ativo desde pelo menos 2022, ele já utilizou falhas no servidor web Apache (CVE-2021-41773), Laravel Framework (CVE-2018-15133) e PHPUnit (CVE-2017-9841) para obter acesso inicial, escalar privilégios e estabelecer controle persistente sobre sistemas comprometidos.
No início deste janeiro, agências de cibersegurança e inteligência dos EUA revelaram que atacantes estão utilizando o malware AndroxGh0st para criar um botnet para "identificação e exploração de vítimas em redes alvo."
A análise mais recente da CloudSEK revela uma expansão estratégica no foco de alvos, com o malware agora explorando uma variedade de vulnerabilidades para acesso inicial -
CVE-2014-2120 (pontuação CVSS: 4.3) - Vulnerabilidade XSS na página de login do Cisco ASA WebVPN.
CVE-2018-10561 (pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação no Dasan GPON.
CVE-2018-10562 (pontuação CVSS: 9.8) - Vulnerabilidade de injeção de comando no Dasan GPON.
CVE-2021-26086 (pontuação CVSS: 5.3) - Vulnerabilidade de percurso de caminho no Atlassian Jira.
CVE-2021-41277 (pontuação CVSS: 7.5) - Vulnerabilidade de inclusão de arquivo local no mapa GeoJSON do Metabase.
CVE-2022-1040 (pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação no Sophos Firewall.
CVE-2022-21587 (pontuação CVSS: 9.8) - Vulnerabilidade de upload de arquivo arbitrário sem autenticação no Oracle E-Business Suite (EBS).
CVE-2023-1389 (pontuação CVSS: 8.8) - Vulnerabilidade de injeção de comando no firmware do TP-Link Archer AX21.
CVE-2024-4577 (pontuação CVSS: 9.8) - Vulnerabilidade de injeção de argumento no PHP CGI.
CVE-2024-36401 (pontuação CVSS: 9.8) - Vulnerabilidade de execução remota de código no GeoServer.
"O botnet percorre nomes de usuário administrativos comuns e utiliza um padrão de senha consistente," disse a empresa. "A URL alvo redireciona para /wp-admin/, que é o painel de administração traseira para sites WordPress. Se a autenticação for bem-sucedida, ele ganha acesso aos controles e configurações críticas do site."
Também foram observados ataques utilizando falhas de execução de comando não autenticadas em dispositivos Netgear DGN e roteadores domésticos Dasan GPON para descarregar um payload chamado "Mozi.m" de diferentes servidores externos ("200.124.241[.]140" e "117.215.206[.]216").
Mozi é outro botnet bem-conhecido que tem um histórico de atacar dispositivos IoT para cooptá-los em uma rede maliciosa para realizar ataques de negação de serviço distribuído (DDoS).
Embora os autores do malware tenham sido presos por autoridades de aplicação da lei chinesas em setembro de 2021, uma queda acentuada na atividade de Mozi não foi observada até agosto de 2023, quando partes não identificadas emitiram um comando de desativação para encerrar o malware. Suspeita-se que tanto os criadores do botnet quanto as autoridades chinesas distribuíram uma atualização para desmantelá-lo.
A integração de Mozi com AndroxGh0st levantou a possibilidade de uma aliança operacional, permitindo assim que ele se propague para mais dispositivos do que nunca.
"AndroxGh0st não está apenas colaborando com Mozi, mas incorporando funcionalidades específicas de Mozi (por exemplo, mecanismos de infecção e propagação para IoT) em seu conjunto padrão de operações," disse a CloudSEK.
"Isto significaria que AndroxGh0st expandiu para aproveitar o poder de propagação de Mozi para infectar mais dispositivos IoT, usando os payloads de Mozi para alcançar objetivos que, de outra forma, exigiriam rotinas de infecção separadas."
"Se ambos os botnets estão usando a mesma infraestrutura de comando, isso aponta para um alto nível de integração operacional, possivelmente implicando que tanto AndroxGh0st quanto Mozi estão sob o controle do mesmo grupo de cibercriminosos. Esta infraestrutura compartilhada simplificaria o controle sobre uma gama mais ampla de dispositivos, aumentando tanto a eficácia quanto a eficiência de suas operações combinadas de botnet."
Via - THN
Comments