- La integración de Androxgh0st con Mozi amplifica los riesgos globales
- Las vulnerabilidades de IoT se han convertido en un nuevo campo de batalla para los ciberataques
- El monitoreo proactivo es esencial para combatir las amenazas de bots emergentes
Los investigadores identificaron recientemente un desarrollo importante en la botnet Androxgh0st, que se ha vuelto más peligrosa con la integración de las capacidades de la botnet Mozi.
Lo que comenzó como un ataque dirigido a un servidor web a principios de 2024 ahora se ha expandido, lo que permite a Androxgh0st explotar vulnerabilidades en dispositivos IoT. Equipo de investigación de amenazas de CloudSEK Dijo.
Su último informe afirma que la botnet ahora está equipada con técnicas avanzadas de Mozi para infectar y propagarse a través de una amplia gama de dispositivos en red.
Mozi ha vuelto: una infraestructura de botnet unificada
Mozi, anteriormente conocido por infectar dispositivos IoT, por ejemplo cambiamos Se cree que los enrutadores D-Link están inactivos después de un Activa el interruptor de apagado En 2023.
Sin embargo, CloudSEK reveló que Androxgh0st ha integrado las capacidades de implementación de Mozi, amplificando significativamente su capacidad para apuntar a dispositivos IoT.
Al implementar cargas útiles de Mozi, Androxgh0st ahora tiene una infraestructura de botnet unificada que aprovecha tácticas especializadas para comprometer las redes de IoT. Esta integración permite que la botnet se propague de manera más eficiente entre dispositivos vulnerables, incluidos… Enrutadores Y otras tecnologías conectadas, lo que la convierte en una fuerza poderosa.
Junto con su integración con Mozi, Androxgh0st ha ampliado el alcance de las vulnerabilidades específicas, explotando vulnerabilidades en sistemas críticos. El análisis de CloudSEK muestra que Androxgh0st ahora está atacando activamente las principales tecnologías, incluidas Cisco ASA, Atlassian JIRA y varios marcos PHP.
En los sistemas Cisco ASA, una botnet explota las vulnerabilidades de secuencias de comandos entre sitios (XSS) inyectando secuencias de comandos maliciosas a través de parámetros no especificados. También apunta a Atlassian JIRA a través de una vulnerabilidad de recorrido de ruta (CVE-2021-26086), que permite a los atacantes obtener acceso no autorizado a archivos confidenciales. En los marcos PHP, Androxgh0st explota vulnerabilidades heredadas como las de Laravel (CVE-2018-15133) y PHPUnit (CVE-2017-9841), lo que facilita el acceso por puerta trasera a los sistemas comprometidos.
El panorama de amenazas de Androxgh0st no se limita a las vulnerabilidades heredadas. También es capaz de explotar vulnerabilidades recientemente descubiertas, como CVE-2023-1389 en el firmware TP-Link Archer AX21, que permite la ejecución de comandos no autenticados, y CVE-2024-36401 en GeoServer, que es una vulnerabilidad que puede conducir a la ejecución de código. . remoto .
La botnet ahora también utiliza técnicas de relleno de credenciales de fuerza bruta, inyección de comandos e inclusión de archivos para comprometer los sistemas. Aprovechando las tácticas de Mozi centradas en IoT, pudo expandir drásticamente su huella geográfica, propagando la infección por regiones de Asia, Europa y más allá.
CloudSEK recomienda que las organizaciones fortalezcan su postura de seguridad para mitigar posibles ataques. Si bien la aplicación inmediata de parches es esencial, también es importante la supervisión proactiva del tráfico de la red. Al rastrear conexiones salientes sospechosas y detectar intentos de inicio de sesión anómalos, especialmente desde dispositivos IoT, las organizaciones pueden detectar signos tempranos de colaboración Androxgh0st-Mozi.