Ботнет Androxgh0st демонстрирует значительный рост и расширение возможностей в 2024 году
С момента своего появления в 2023 году ботнет Androxgh0st существенно эволюционировал, используя широкий спектр уязвимостей для организации удалённого выполнения кода (RCE) и проведения операций по криптомайнингу. Последние данные свидетельствуют о том, что этот ботнет скомпрометировал поддомен Калифорнийского университета в Сан-Диего, где разместил панели управления регистраторами (C2) для координации своей деятельности.
Атаки на разнообразные платформы и устройства
Androxgh0st нацелен на различные программные платформы и IoT-устройства, эксплуатируя неправильно настроенные серверы и известные уязвимости, включая:
- Apache Shiro;
- Spring framework;
- WordPress, в частности плагин «Popup Maker»;
- Устройства Интернета Вещей с функцией WLANScanSSID от Lantronix.
Для реализации атак ботнет использует сложные методы, включая уязвимости в интерфейсе именования и каталогов Java (JNDI) в Apache Shiro и критическую уязвимость Spring4Shell. Помимо этого, отмечаются попытки эксплуатации уязвимости в Apache Struts2, что свидетельствует о высокой адаптивности и разнообразии используемых техник.
Технические особенности веб-оболочки
Одной из ключевых особенностей Androxgh0st является веб-оболочка на PHP, которая подавляет ошибки и выполняет обфусцированный код. Структура полезной нагрузки строится таким образом, чтобы через POST-запросы обеспечить возможность удалённого выполнения произвольного PHP-кода.
Полезная нагрузка определяет класс с методами, которые позволяют хакерам запускать произвольный код, фактически функционируя как классическая веб-оболочка. Среди применяемых методов обфускации — использование ROT13, eval(hex2bin(…)) и другие техники, направленные на избежание обнаружения системами безопасности.
Первоначальный доступ и методы эксплуатации
Для получения начального доступа ботнет применяет разнообразные техники, включая внедрение команд и использование известных уязвимостей в популярных компонентах. Например:
- Плагин «Popup Maker» для WordPress;
- Функция WLANScanSSID в устройствах Lantronix;
- Использование уязвимостей в Apache Struts2, Apache Shiro (JNDI/RMI), Spring4Shell.
Подобный набор эксплойтов свидетельствует о высокой сложности и адаптивности атаки, а также о постоянном расширении арсенала ботнета.
Мониторинг и рекомендации специалистов
По данным компании CloudSEK, с августа 2024 года число уязвимостей, используемых Androxgh0st, увеличилось более чем на 50%, превысив двадцать. Анализ журналов C2 выявил постоянное внедрение вредоносных команд, направленных на утечку конфиденциальных данных и организацию операций криптомайнинга.
Эксперты по кибербезопасности рекомендуют принимать следующие меры для своевременного обнаружения и предотвращения деятельности Androxgh0st:
- Выявление PHP веб-оболочек с обфусцированным кодом, включая использование eval(hex2bin(…));
- Мониторинг подозрительных параметров в POST-запросах;
- Тщательный анализ серверных журналов на признаки использования JNDI/RMI;
- Обращение внимания на появление скрытой полезной нагрузки и общих строк ввода команд.
Повышенный уровень атак, характеризующихся высокой сложностью и многокомпонентным подходом, подчёркивает необходимость постоянной бдительности со стороны организаций и специалистов в области информационной безопасности.
“Организациям необходимо адаптировать свои стратегии защиты и мониторинга в ответ на постоянно развивающуюся тактику хакеров, подобных Androxgh0st”, — отмечают аналитики.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция ботнета Androxgh0st: новые угрозы, уязвимости и методы атаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.