Serviços de IoT e Nuvem sob ATAQUE
11 de Novembro de 2024

Os agentes de ameaça por trás do malware AndroxGh0st estão agora explorando um conjunto mais amplo de falhas de segurança que impactam diversas aplicações voltadas para a internet, ao mesmo tempo que implantam o malware botnet Mozi.

"Este botnet utiliza métodos de execução de código remoto e roubo de credenciais para manter acesso persistente, aproveitando vulnerabilidades não corrigidas para infiltrar em infraestruturas críticas," disse a CloudSEK em um novo relatório.

AndroxGh0st é o nome dado a uma ferramenta de ataque baseada em Python que é conhecida por seu foco em aplicações Laravel com o objetivo de obter dados sensíveis relacionados a serviços como Amazon Web Services (AWS), SendGrid e Twilio.

Ativo desde pelo menos 2022, já utilizou falhas no servidor web Apache ( CVE-2021-41773 ), Laravel Framework ( CVE-2018-15133 ) e PHPUnit ( CVE-2017-9841 ) para obter acesso inicial, escalar privilégios e estabelecer controle persistente sobre sistemas comprometidos.

Em janeiro deste ano, agências de cibersegurança e inteligência dos EUA revelaram que atacantes estão implantando o malware AndroxGh0st para criar um botnet para "identificação de vítimas e exploração em redes-alvo." A análise mais recente da CloudSEK revela uma expansão estratégica do foco de ataque, com o malware agora explorando uma gama de vulnerabilidades para acesso inicial -

CVE-2014-2120 (pontuação CVSS: 4.3) - Vulnerabilidade XSS na página de login do Cisco ASA WebVPN CVE-2018-10561 (pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação Dasan GPON CVE-2018-10562 (pontuação CVSS: 9.8) - Vulnerabilidade de injeção de comando Dasan GPON CVE-2021-26086 (pontuação CVSS: 5.3) - Vulnerabilidade de travessia de caminho Atlassian Jira CVE-2021-41277 (pontuação CVSS: 7.5) - Vulnerabilidade de inclusão de arquivo local do mapa GeoJSON Metabase CVE-2022-1040 (pontuação CVSS: 9.8) - Vulnerabilidade de bypass de autenticação do Sophos Firewall CVE-2022-21587 (pontuação CVSS: 9.8) - Vulnerabilidade de upload de arquivo arbitrário não autenticado do Oracle E-Business Suite (EBS) CVE-2023-1389 (pontuação CVSS: 8.8) - Vulnerabilidade de injeção de comando no firmware TP-Link Archer AX21 CVE-2024-4577 (pontuação CVSS: 9.8) - Vulnerabilidade de injeção de argumento CGI PHP CVE-2024-36401 (pontuação CVSS: 9.8) - Vulnerabilidade de execução de código remoto no GeoServer

"O botnet cicla através de nomes de usuários administrativos comuns e usa um padrão consistente de senha," disse a empresa.

A URL-alvo redireciona para /wp-admin/, que é o painel de administração de backend para sites WordPress.

Se a autenticação for bem-sucedida, ele ganha acesso a controles e configurações críticas do site.

Os ataques também foram observados explorando falhas de execução de comando não autenticado em dispositivos Netgear DGN e roteadores domésticos Dasan GPON para descarregar um payload nomeado "Mozi.m" de diferentes servidores externos ("200.124.241[.]140" e "117.215.206[.]216").

Mozi é outro botnet bem conhecido que tem um histórico de ataque a dispositivos IoT para cooptá-los em uma rede maliciosa para conduzir ataques de negação de serviço distribuído (DDoS).

Embora os autores do malware tenham sido presos por autoridades policiais chinesas em setembro de 2021, um declínio acentuado na atividade do Mozi não foi observado até agosto de 2023, quando partes não identificadas emitiram um comando de desativação para terminar o malware.

Suspeita-se que os criadores do botnet ou as autoridades chinesas distribuíram uma atualização para desmantelá-lo.

A integração do AndroxGh0st com o Mozi levantou a possibilidade de uma possível aliança operacional, permitindo assim que se propague para mais dispositivos do que nunca.

"AndroxGh0st não está apenas colaborando com o Mozi mas incorporando funcionalidades específicas do Mozi (por exemplo, mecanismos de infecção e propagação de IoT) em seu conjunto padrão de operações," disse a CloudSEK.

Isso significa que AndroxGh0st expandiu para aproveitar o poder de propagação do Mozi para infectar mais dispositivos IoT, usando payloads do Mozi para alcançar objetivos que de outra forma exigiriam rotinas de infecção separadas.

Se ambos os botnets estão usando a mesma infraestrutura de comando, isso indica um alto nível de integração operacional, possivelmente implicando que tanto AndroxGh0st quanto o Mozi estão sob o controle do mesmo grupo de criminosos cibernéticos.

Esta infraestrutura compartilhada simplificaria o controle sobre uma gama mais ampla de dispositivos, aumentando tanto a eficácia quanto a eficiência de suas operações combinadas de botnet.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...