Os agentes de ameaça por trás do malware AndroxGh0st estão agora explorando um conjunto mais amplo de falhas de segurança que impactam diversas aplicações voltadas para a internet, ao mesmo tempo que implantam o malware botnet Mozi.
"Este botnet utiliza métodos de execução de código remoto e roubo de credenciais para manter acesso persistente, aproveitando vulnerabilidades não corrigidas para infiltrar em infraestruturas críticas," disse a CloudSEK em um novo relatório.
AndroxGh0st é o nome dado a uma ferramenta de ataque baseada em Python que é conhecida por seu foco em aplicações Laravel com o objetivo de obter dados sensíveis relacionados a serviços como Amazon Web Services (AWS), SendGrid e Twilio.
Ativo desde pelo menos 2022, já utilizou falhas no servidor web Apache (
CVE-2021-41773
), Laravel Framework (
CVE-2018-15133
) e PHPUnit (
CVE-2017-9841
) para obter acesso inicial, escalar privilégios e estabelecer controle persistente sobre sistemas comprometidos.
Em janeiro deste ano, agências de cibersegurança e inteligência dos EUA revelaram que atacantes estão implantando o malware AndroxGh0st para criar um botnet para "identificação de vítimas e exploração em redes-alvo." A análise mais recente da CloudSEK revela uma expansão estratégica do foco de ataque, com o malware agora explorando uma gama de vulnerabilidades para acesso inicial -
CVE-2014-2120
(pontuação CVSS: 4.3) - Vulnerabilidade XSS na página de login do Cisco ASA WebVPN
CVE-2018-10561
(pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação Dasan GPON
CVE-2018-10562
(pontuação CVSS: 9.8) - Vulnerabilidade de injeção de comando Dasan GPON
CVE-2021-26086
(pontuação CVSS: 5.3) - Vulnerabilidade de travessia de caminho Atlassian Jira
CVE-2021-41277
(pontuação CVSS: 7.5) - Vulnerabilidade de inclusão de arquivo local do mapa GeoJSON Metabase
CVE-2022-1040
(pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação do Sophos Firewall
CVE-2022-21587
(pontuação CVSS: 9.8) - Vulnerabilidade de upload de arquivo arbitrário não autenticado do Oracle E-Business Suite (EBS)
CVE-2023-1389
(pontuação CVSS: 8.8) - Vulnerabilidade de injeção de comando no firmware TP-Link Archer AX21 CVE-2024-4577 (pontuação CVSS: 9.8) - Vulnerabilidade de injeção de argumento CGI PHP
CVE-2024-36401
(pontuação CVSS: 9.8) - Vulnerabilidade de execução de código remoto no GeoServer
"O botnet cicla através de nomes de usuários administrativos comuns e usa um padrão consistente de senha," disse a empresa.
A URL-alvo redireciona para /wp-admin/, que é o painel de administração de backend para sites WordPress.
Se a autenticação for bem-sucedida, ele ganha acesso a controles e configurações críticas do site.
Os ataques também foram observados explorando falhas de execução de comando não autenticado em dispositivos Netgear DGN e roteadores domésticos Dasan GPON para descarregar um payload nomeado "Mozi.m" de diferentes servidores externos ("200.124.241[.]140" e "117.215.206[.]216").
Mozi é outro botnet bem conhecido que tem um histórico de ataque a dispositivos IoT para cooptá-los em uma rede maliciosa para conduzir ataques de negação de serviço distribuído (DDoS).
Embora os autores do malware tenham sido presos por autoridades policiais chinesas em setembro de 2021, um declínio acentuado na atividade do Mozi não foi observado até agosto de 2023, quando partes não identificadas emitiram um comando de desativação para terminar o malware.
Suspeita-se que os criadores do botnet ou as autoridades chinesas distribuíram uma atualização para desmantelá-lo.
A integração do AndroxGh0st com o Mozi levantou a possibilidade de uma possível aliança operacional, permitindo assim que se propague para mais dispositivos do que nunca.
"AndroxGh0st não está apenas colaborando com o Mozi mas incorporando funcionalidades específicas do Mozi (por exemplo, mecanismos de infecção e propagação de IoT) em seu conjunto padrão de operações," disse a CloudSEK.
Isso significa que AndroxGh0st expandiu para aproveitar o poder de propagação do Mozi para infectar mais dispositivos IoT, usando payloads do Mozi para alcançar objetivos que de outra forma exigiriam rotinas de infecção separadas.
Se ambos os botnets estão usando a mesma infraestrutura de comando, isso indica um alto nível de integração operacional, possivelmente implicando que tanto AndroxGh0st quanto o Mozi estão sob o controle do mesmo grupo de criminosos cibernéticos.
Esta infraestrutura compartilhada simplificaria o controle sobre uma gama mais ampla de dispositivos, aumentando tanto a eficácia quanto a eficiência de suas operações combinadas de botnet.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...