Nova Evolucija Androxgh0st Botneta: Opasnosti i Preporučene Mjere
Istraživači su nedavno otkrili značajnu evoluciju u Androxgh0st botnetu, koji je postao opasniji zahvaljujući integraciji mogućnosti Mozi botneta. Ono što je započelo kao napad usmjeren na web servere početkom 2024. godine sada se proširilo, omogućavajući Androxgh0st-u da iskorištava ranjivosti u IoT uređajima, tvrdi tim za istraživanje prijetnji CloudSEK-a. Njihovo najnovije izvješće pokazuje da je botnet sada opremljen naprednim tehnikama Mozi za infekciju i širenje između širokog spektra umreženih uređaja.
Kako je Došlo do Evolucije?
Mozi, koji je ranije bio poznat po infekciji IoT uređaja kao što su Netgear i D-Link usmjerivači, smatralo se neaktivnim nakon aktivacije killswitcha 2023. godine. Međutim, CloudSEK je otkrio da je Androxgh0st integrirao Mozi-ove sposobnosti širenja, čime je značajno povećao svoj potencijal za ciljanje IoT uređaja. Korištenjem Mozi-ovih paketa, Androxgh0st sada posjeduje jedinstvenu infrastrukturu botneta koja koristi specijalizirane taktike za infiltraciju IoT mreža.
Ranjivosti u Ciljnim Sustavima
Bazirano na analizi CloudSEK-a, Androxgh0st aktivno napada brojne velike tehnologije, uključujući:
- Cisco ASA
- Atlassian JIRA
- Različite PHP frameworke
U Cisco ASA sustavima, botnet iskorištava ranjivosti međusobnog skripta (XSS), ubacujući maliciozne skripte kroz neodređene parametre. Osim toga, cilja Atlassian JIRA kroz ranjivost putne traversije (CVE-2021-26086), što napadačima omogućava neovlašteni pristup osjetljivim datotekama. U PHP frameworkima, Androxgh0st koristi starije ranjivosti poput onih u Laravelu (CVE-2018-15133) i PHPUnit-u (CVE-2017-9841), olakšavajući pristup putem “backdoor”-a zaraženim sustavima.
Novije Ranjivosti i Tehnike Napada
Androxgh0st-ova prijetnja ne zavisi samo od starijih ranjivosti. Botnet također iskorištava nedavno otkrivene ranjivosti, kao što su:
- CVE-2023-1389 u TP-Link Archer AX21 firmware-u, koja omogućava neautenticiranu izvršavanje komandi.
- CVE-2024-36401 u GeoServer-u, ranjivost koja može dovesti do daljinskog izvršavanja koda.
Pored ovoga, botnet koristi tehnike nasilnog ubacivanja lozinki, injekciju komandi i uključivanje datoteka za kompromitaciju sustava. Korištenjem Mozi-ovih taktika usmjerenih na IoT, Androxgh0st je značajno proširio svoj geografski utjecaj, šireći svoje infekcije u regije Azije, Europe i dalje.
Preporučene Mjere za Organizacije
CloudSEK preporučuje organizacijama da ojačaju svoj sigurnosni položaj kako bi umanjile potencijalne napade. Ključne mjere uključuju:
- Odmah zakrpiti ranjivosti.
- Proaktivan nadzor mrežnog prometa.
Pratite sumnjive vanjske veze i otkrivajte anomalne pokušaje prijave, posebno sa IoT uređaja. Ove mjere mogu pomoći organizacijama da uoče rane znakove suradnje između Androxgh0st-a i Mozi-a.
Zaključak
U današnjem digitalnom okruženju, razumijevanje i odgovaranje na prijetnje kao što je Androxgh0st botnet je ključno za održavanje sigurnosti sustava. Stalna edukacija i pravovremeno djelovanje mogu značajno smanjiti rizik od napada.