Nova Androxgh0st botnet cilja ranjivosti u IoT uređajima i web aplikacijama putem Mozi integracije

Nova Evolucija Androxgh0st Botneta: Opasnosti i Preporučene Mjere

Istraživači su nedavno otkrili značajnu evoluciju u Androxgh0st botnetu, koji je postao opasniji zahvaljujući integraciji mogućnosti Mozi botneta. Ono što je započelo kao napad usmjeren na web servere početkom 2024. godine sada se proširilo, omogućavajući Androxgh0st-u da iskorištava ranjivosti u IoT uređajima, tvrdi tim za istraživanje prijetnji CloudSEK-a. Njihovo najnovije izvješće pokazuje da je botnet sada opremljen naprednim tehnikama Mozi za infekciju i širenje između širokog spektra umreženih uređaja.

Kako je Došlo do Evolucije?

Mozi, koji je ranije bio poznat po infekciji IoT uređaja kao što su Netgear i D-Link usmjerivači, smatralo se neaktivnim nakon aktivacije killswitcha 2023. godine. Međutim, CloudSEK je otkrio da je Androxgh0st integrirao Mozi-ove sposobnosti širenja, čime je značajno povećao svoj potencijal za ciljanje IoT uređaja. Korištenjem Mozi-ovih paketa, Androxgh0st sada posjeduje jedinstvenu infrastrukturu botneta koja koristi specijalizirane taktike za infiltraciju IoT mreža.

Ranjivosti u Ciljnim Sustavima

Bazirano na analizi CloudSEK-a, Androxgh0st aktivno napada brojne velike tehnologije, uključujući:

  • Cisco ASA
  • Atlassian JIRA
  • Različite PHP frameworke

U Cisco ASA sustavima, botnet iskorištava ranjivosti međusobnog skripta (XSS), ubacujući maliciozne skripte kroz neodređene parametre. Osim toga, cilja Atlassian JIRA kroz ranjivost putne traversije (CVE-2021-26086), što napadačima omogućava neovlašteni pristup osjetljivim datotekama. U PHP frameworkima, Androxgh0st koristi starije ranjivosti poput onih u Laravelu (CVE-2018-15133) i PHPUnit-u (CVE-2017-9841), olakšavajući pristup putem “backdoor”-a zaraženim sustavima.

Novije Ranjivosti i Tehnike Napada

Androxgh0st-ova prijetnja ne zavisi samo od starijih ranjivosti. Botnet također iskorištava nedavno otkrivene ranjivosti, kao što su:

  • CVE-2023-1389 u TP-Link Archer AX21 firmware-u, koja omogućava neautenticiranu izvršavanje komandi.
  • CVE-2024-36401 u GeoServer-u, ranjivost koja može dovesti do daljinskog izvršavanja koda.

Pored ovoga, botnet koristi tehnike nasilnog ubacivanja lozinki, injekciju komandi i uključivanje datoteka za kompromitaciju sustava. Korištenjem Mozi-ovih taktika usmjerenih na IoT, Androxgh0st je značajno proširio svoj geografski utjecaj, šireći svoje infekcije u regije Azije, Europe i dalje.

Preporučene Mjere za Organizacije

CloudSEK preporučuje organizacijama da ojačaju svoj sigurnosni položaj kako bi umanjile potencijalne napade. Ključne mjere uključuju:

  • Odmah zakrpiti ranjivosti.
  • Proaktivan nadzor mrežnog prometa.

Pratite sumnjive vanjske veze i otkrivajte anomalne pokušaje prijave, posebno sa IoT uređaja. Ove mjere mogu pomoći organizacijama da uoče rane znakove suradnje između Androxgh0st-a i Mozi-a.

Zaključak

U današnjem digitalnom okruženju, razumijevanje i odgovaranje na prijetnje kao što je Androxgh0st botnet je ključno za održavanje sigurnosti sustava. Stalna edukacija i pravovremeno djelovanje mogu značajno smanjiti rizik od napada.

Total
0
Shares
Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

Previous Post

Koja zemlja ima najviše piramida? Nije Egipat

Next Post

Izložene ranjivosti TrueNAS uređaja tijekom hakerskog natjecanja

Related Posts