Команда исследования угроз CloudSEK обнаружила, что ботнет Androxgh0st, который действует с января 2024 года, использует множество уязвимостей и имеет возможность интеграции с ботнетом Mozi.
Androxgh0st Botnet
Androxgh0st изначально известен атаками на веб-серверы, но последние журналы операций командно-контрольного сервера указывают на то, что он также использует полезную нагрузку Mozi, которая нацелена на IoT. CISA ранее выпустила рекомендации по ботнету Androxgh0st и его использованию. Ботнет Androxgh0st нацелен на различные технологии, включая Cisco ASA, Atlassian JIRA и PHP-фреймворки, и позволяет злоумышленникам получать несанкционированный доступ и выполнение удаленного кода. Это указывает на повышенную активность операторов ботнета, которые теперь сфокусированы на широком спектре уязвимостей веб-приложений для получения первоначального доступа.
Анализ показал, что ботнет Mozi был распространен в Китае, Индии и Албании и был нацелен на маршрутизаторы Netgear, Dasan, D-Link и серверы MVPower DVR Jaws. В 2021 году создатели ботнета Mozi были арестованы китайскими правоохранительными органами, и обновление было распространено, чтобы отключить агентов ботнета Mozi от внешнего мира. Однако осталась небольшая часть работоспособных ботов.
В результате расследования CloudSEK удалось получить логи командно-контрольного сервера Androxgh0st. Анализ этих логов позволил выявить уязвимости, которые эксплуатирует ботнет, а также общие методы и тактики, используемые с ботнетом Mozi.
В ходе рутинного сканирования вредоносной инфраструктуры CloudSEK обнаружила командные и управляющие серверы, используемые ботнетом Androxgh0st, а также неправильно настроенные панели регистратора и отправителя команд, где хранились записи POST- и GET-запросов от агентов ботнета. Было обнаружено, что ботнет Androxgh0st отправляет POST-запросы с определенными строками.
CloudSEK выявила ряд уязвимостей, которые ботнет Androxgh0st использует для получения первоначального доступа. Некоторые из этих уязвимостей включают Cisco ASA, Atlassian JIRA, Metabase GeoJSON, Sophos Firewall и Oracle EBS. Эти уязвимости позволяют злоумышленникам производить удаленное выполнение кода, обходить проверку подлинности и несанкционированно загружать файлы.
Обнаружение этих уязвимостей имеет важное значение для обеспечения безопасности и предотвращения атак от ботнета Androxgh0st. Рекомендуется обновить уязвимые системы и применить соответствующие патчи, чтобы снизить риски связанные с ботнетом Androxgh0st.
Indicators of Compromise
IPv4
- 117.215.206.216
- 154.216.17.31
- 165.22.184.66
- 200.124.241.140
- 45.202.35.24
- 45.55.104.59
Domains
- Api.next.eventsrealm.com
MD5
- 0564f83ada149b63a8928ff7591389f3
- 2403a89ab4ffec6d864ac0a7a225e99a
- 2938986310675fa79e01af965f4ace4f
- 3cb30d37cdfe949ac1ff3e33705f09e3
- 3d48dfd97f2b77417410500606b2ced6
- 45b5c4bff7499603a37d5a665b5b4ca3
- 6f8a79918c78280aec401778564e3345
- a2021755d4d55c39ada0b4abc0c8bcf5
- a6609478016c84aa235cd8b3047223eb
- abab0da6685a8eb739027aee4a5c4eaa
- c8340927faaf9dccabb84a849f448e92
- d9553ca3d837f261f8dfda9950978a0a
- db2a59a1fd789d62858dfc4f436822d7
- dd5e7a153bebb8270cf0e7ce53e05d9c
- e3e6926fdee074adaa48b4627644fccb
- f75061ac31f8b67ddcd5644f9570e29b