AndroxGh0st tích hợp Botnet Mozi để nhắm mục tiêu vào IoT và dịch vụ đám mây

Tác giả Starlink, T.M.Một 16, 2024, 11:41:30 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Những kẻ tấn công đứng sau phần mềm độc hại AndroxGh0st hiện đang khai thác nhiều lỗ hổng bảo mật hơn, ảnh hưởng đến nhiều ứng dụng trên internet, đồng thời triển khai phần mềm độc hại botnet Mozi.

CloudSEK cho biết trong một báo cáo mới: "Mạng botnet này sử dụng phương pháp thực thi mã từ xa và đánh cắp thông tin đăng nhập để duy trì quyền truy cập liên tục, lợi dụng các lỗ hổng chưa được vá để xâm nhập vào cơ sở hạ tầng quan trọng".


AndroxGh0st là tên gọi của một công cụ tấn công đám mây dựa trên Python, được biết đến với khả năng nhắm mục tiêu vào các ứng dụng Laravel với mục đích là dữ liệu nhạy cảm liên quan đến các dịch vụ như Amazon Web Services (AWS), SendGrid và Twilio.

Hoạt động ít nhất từ năm 2022, trước đây nó đã lợi dụng các lỗ hổng trong máy chủ web Apache (CVE-2021-41773), Laravel Framework (CVE-2018-15133) và PHPUnit (CVE-2017-9841) để giành quyền truy cập ban đầu, leo thang đặc quyền và thiết lập quyền kiểm soát liên tục đối với các hệ thống bị xâm phạm.

Đầu tháng 1 này, các cơ quan tình báo và an ninh mạng Hoa Kỳ đã tiết lộ rằng những kẻ tấn công đang triển khai phần mềm độc hại AndroxGh0st để tạo ra một mạng botnet nhằm "xác định nạn nhân và khai thác trong các mạng mục tiêu".

Phân tích mới nhất từ CloudSEK cho thấy sự mở rộng chiến lược của trọng tâm nhắm mục tiêu, với phần mềm độc hại hiện đang khai thác một loạt các lỗ hổng để truy cập ban đầu -

  • CVE-2014-2120 (Điểm CVSS: 4.3) - Lỗ hổng XSS của trang đăng nhập Cisco ASA WebVPN
  • CVE-2018-10561 (Điểm CVSS: 9.8) - Lỗ hổng bỏ qua xác thực Dasan GPON
  • CVE-2018-10562 (Điểm CVSS: 9.8) - Lỗ hổng tiêm lệnh Dasan GPON
  • CVE-2021-26086 (Điểm CVSS: 5.3) - Lỗ hổng traversal đường dẫn Atlassian Jira
  • CVE-2021-41277 (Điểm CVSS: 7.5) - Lỗ hổng bao gồm tệp cục bộ bản đồ Metabase GeoJSON
  • CVE-2022-1040 (Điểm CVSS: 9.8) - Lỗ hổng bỏ qua xác thực của Sophos Firewall
  • CVE-2022-21587 (Điểm CVSS: 9,8) - Lỗ hổng tải tệp tùy ý chưa xác thực của Oracle E-Business Suite (EBS)
  • CVE-2023-1389 (Điểm CVSS: 8,8) - Lỗ hổng tiêm lệnh phần mềm TP-Link Archer AX21
  • CVE-2024-4577 (Điểm CVSS: 9.8) - Lỗ hổng chèn tham số CGI của PHP
  • CVE-2024-36401 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa của GeoServer

"Botnet tuần hoàn qua tên người dùng quản trị phổ biến và sử dụng một mẫu mật khẩu nhất quán", công ty cho biết. "URL mục tiêu chuyển hướng đến /wp-admin/, đây là bảng điều khiển quản trị phụ trợ cho các trang web WordPress. Nếu xác thực thành công, botnet sẽ có quyền truy cập vào các cài đặt và điều khiển trang web quan trọng".


Các cuộc tấn công này cũng được quan sát thấy lợi dụng các lỗ hổng thực thi lệnh chưa được xác thực trong các thiết bị Netgear DGN và bộ định tuyến gia đình Dasan GPON để thả một tải trọng có tên "Mozi.m" từ các máy chủ bên ngoài khác nhau ("200.124.241[.]140" và "117.215.206[.]216").

Mozi là một botnet nổi tiếng khác có thành tích tấn công các thiết bị IoT để biến chúng thành một mạng lưới độc hại nhằm thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Trong khi các tác giả phần mềm độc hại đã bị các viên chức thực thi pháp luật Trung Quốc bắt giữ vào tháng 9 năm 2021, hoạt động của Mozi đã giảm mạnh cho đến tháng 8 năm 2023, khi các bên không xác định đưa ra lệnh kill switch để chấm dứt phần mềm độc hại. Người ta nghi ngờ rằng những người tạo ra botnet hoặc chính quyền Trung Quốc đã phân phối bản cập nhật để xóa bỏ nó.

Việc AndroxGh0st tích hợp Mozi đã làm tăng khả năng hình thành một liên minh hoạt động, qua đó cho phép nó lan truyền đến nhiều thiết bị hơn bao giờ hết.

CloudSEK cho biết: "AndroxGh0st không chỉ hợp tác với Mozi mà còn nhúng các chức năng cụ thể của Mozi (ví dụ: cơ chế lây nhiễm và phát tán IoT) vào bộ hoạt động tiêu chuẩn của nó".

"Điều này có nghĩa là AndroxGh0st đã mở rộng để tận dụng sức mạnh lan truyền của Mozi nhằm lây nhiễm nhiều thiết bị IoT hơn, sử dụng các tải trọng của Mozi để đạt được các mục tiêu mà nếu không sẽ yêu cầu các quy trình lây nhiễm riêng biệt."

"Nếu cả hai botnet đều sử dụng cùng một cơ sở hạ tầng lệnh, điều này cho thấy mức độ tích hợp hoạt động cao, có thể ngụ ý rằng cả AndroxGh0st và Mozi đều nằm dưới sự kiểm soát của cùng một nhóm tội phạm mạng. Cơ sở hạ tầng chung này sẽ hợp lý hóa việc kiểm soát nhiều thiết bị hơn, nâng cao cả hiệu quả và hiệu suất của các hoạt động botnet kết hợp của chúng."