De bedreigingsactoren achter de AndroxGh0st-malware maken nu misbruik van een bredere reeks beveiligingsfouten die van invloed zijn op verschillende internetgerichte applicaties, terwijl ze ook de Mozi-botnet-malware inzetten.
“Dit botnet maakt gebruik van methoden voor het op afstand uitvoeren van code en het stelen van inloggegevens om blijvende toegang te behouden, waarbij gebruik wordt gemaakt van niet-gepatchte kwetsbaarheden om kritieke infrastructuren te infiltreren”, aldus CloudSEK in een nieuw rapport.
AndroxGh0st is de naam die wordt gegeven aan een op Python gebaseerde cloudaanvaltool die bekend staat om zijn targeting op Laravel-applicaties met als doel gevoelige gegevens met betrekking tot services als Amazon Web Services (AWS), SendGrid en Twilio.
Het is actief sinds minstens 2022 en heeft eerder gebruik gemaakt van fouten in de Apache-webserver (CVE-2021-41773), Laravel Framework (CVE-2018-15133) en PHPUnit (CVE-2017-9841) om initiële toegang te verkrijgen en rechten te escaleren en een blijvende controle uitoefenen over gecompromitteerde systemen.
Eerder dit jaar onthulden Amerikaanse cyberveiligheids- en inlichtingendiensten dat aanvallers de AndroxGh0st-malware inzetten om een botnet te creëren voor “slachtofferidentificatie en exploitatie in doelnetwerken”.
De nieuwste analyse van CloudSEK onthult een strategische uitbreiding van de targetingfocus, waarbij de malware nu een reeks kwetsbaarheden misbruikt voor initiële toegang –
- CVE-2014-2120 (CVSS-score: 4,3) – Cisco ASA WebVPN-inlogpagina XSS-kwetsbaarheid
- CVE-2018-10561 (CVSS-score: 9,8) – Dasan GPON-authenticatie omzeilt kwetsbaarheid
- CVE-2018-10562 (CVSS-score: 9,8) – Dasan GPON-opdrachtinjectiekwetsbaarheid
- CVE-2021-26086 (CVSS-score: 5,3) – Kwetsbaarheid bij het doorlopen van Atlassian Jira-paden
- CVE-2021-41277 (CVSS-score: 7,5) – Metabase GeoJSON brengt kwetsbaarheid voor het opnemen van lokale bestanden in kaart
- CVE-2022-1040 (CVSS-score: 9,8) – Sophos Firewall-authenticatie omzeilt kwetsbaarheid
- CVE-2022-21587 (CVSS-score: 9,8) – Oracle E-Business Suite (EBS) Niet-geverifieerde kwetsbaarheid voor het uploaden van willekeurige bestanden
- CVE-2023-1389 (CVSS-score: 8,8) – Kwetsbaarheid voor opdrachtinjectie van TP-Link Archer AX21 firmware
- CVE-2024-4577 (CVSS-score: 9,8) – Kwetsbaarheid voor PHP CGI-argumentinjectie
- CVE-2024-36401 (CVSS-score: 9,8) – Kwetsbaarheid bij het uitvoeren van externe code in GeoServer
“Het botnet doorloopt veelgebruikte administratieve gebruikersnamen en gebruikt een consistent wachtwoordpatroon”, aldus het bedrijf. “De doel-URL verwijst door naar /wp-admin/, het backend-beheerdashboard voor WordPress-sites. Als de authenticatie succesvol is, krijgt deze toegang tot kritieke websitecontroles en -instellingen.”
Er is ook waargenomen dat bij de aanvallen gebruik wordt gemaakt van niet-geverifieerde tekortkomingen in de uitvoering van opdrachten in Netgear DGN-apparaten en Dasan GPON-thuisrouters, waardoor een payload met de naam “Mozi.m” van verschillende externe servers (“200.124.241(.)140” en “117.215.206()” wordt verwijderd. .)216″).
Mozi is een ander bekend botnet dat een track record heeft van het aanvallen van IoT-apparaten om ze in een kwaadaardig netwerk te coöpteren voor het uitvoeren van gedistribueerde denial-of-service (DDoS)-aanvallen.
Terwijl de malware-auteurs in september 2021 door Chinese wetshandhavingsfunctionarissen werden gearresteerd, werd er pas in augustus 2023 een steile daling van de Mozi-activiteit waargenomen, toen niet-geïdentificeerde partijen een kill-switch-commando gaven om de malware te beëindigen. Er wordt vermoed dat de makers van het botnet of de Chinese autoriteiten een update hebben verspreid om het te ontmantelen.
De integratie van Mozi door AndroxGh0st heeft de mogelijkheid van een mogelijke operationele alliantie vergroot, waardoor het zich naar meer apparaten kan verspreiden dan ooit tevoren.
“AndroxGh0st werkt niet alleen samen met Mozi, maar integreert de specifieke functionaliteiten van Mozi (bijvoorbeeld IoT-infectie- en propagatiemechanismen) in zijn standaardreeks operaties”, aldus CloudSEK.
“Dit zou betekenen dat AndroxGh0st is uitgebreid om de verspreidingskracht van Mozi te benutten om meer IoT-apparaten te infecteren, waarbij Mozi’s payloads worden gebruikt om doelen te bereiken waarvoor anders afzonderlijke infectieroutines nodig zouden zijn.”
“Als beide botnets dezelfde commando-infrastructuur gebruiken, wijst dit op een hoog niveau van operationele integratie, wat mogelijk impliceert dat zowel AndroxGh0st als Mozi onder controle staan van dezelfde cybercriminele groep. Deze gedeelde infrastructuur zou de controle over een breder scala aan apparaten stroomlijnen. , waardoor zowel de effectiviteit als de efficiëntie van hun gecombineerde botnetactiviteiten worden verbeterd.”