Ботнет Androxgh0st активно охотится на серверы и устройства интернета вещей
11/11/24
В начале 2024 года специалисты компании CloudSEK обнаружили возрождение легендарного ботнета Mozi, который теперь действует под новым именем — Androxgh0st. Этот ботнет активно использует уязвимости в веб-серверах и IoT-устройствах, таких как Cisco ASA, Atlassian JIRA и PHP-платформы, чтобы проникать в критические инфраструктуры, пишет Securitylab.
Согласно данным CloudSEK, с января 2024 года Androxgh0st начал применять вредоносные тактики, ранее свойственные Mozi. В результате ботнет получил возможность не только атаковать веб-серверы, но и масштабировать свои операции, нацеливаясь на устройства интернета вещей (IoT).
Androxgh0st использует сложные методы для удалённого выполнения кода и кражи учётных данных, что позволяет долго сохранять доступ к заражённым системам. Эксперты отмечают активное применение уязвимостей, ранее описанных в бюллетенях CISA, в том числе уязвимость CVE-2023-1389 (CVSS: 8.8) в маршрутизаторах TP-Link и CVE-2024-36401 (CVSS: 9.8) в системе GeoServer.
Помимо этого, ботнет использует такие уязвимости, как утечка данных через Laravel-фреймворк и удалённое выполнение команд на серверах Apache. Эти атаки позволяют злоумышленникам получать доступ к конфиденциальным данным и устанавливать вредоносные файлы для последующего управления системами.
Ранее, в 2021 году, китайские власти задержали создателей Mozi, что якобы привело к блокировке его командных серверов. Однако, несмотря на это, оставшиеся элементы инфраструктуры были интегрированы в Androxgh0st, что дало новому ботнету возможность использовать ресурсы Mozi для расширения охвата своих атак.
Особую тревогу вызывает то, что Androxgh0st успешно обходит многие защитные механизмы и использует брутфорс-атаки для доступа к административным панелям на сайтах, работающих на WordPress. Это позволяет злоумышленникам устанавливать вредоносные файлы и организовывать дальнейшие атаки на серверы.