- La combinación de Androxgh0st con Mozi aumenta los riesgos globales
- Las vulnerabilidades de IoT son el nuevo campo de batalla para los ciberataques
- El monitoreo proactivo es esencial para combatir las amenazas emergentes de botnets
Los investigadores han identificado recientemente un desarrollo importante en la botnet Androxgh0st, que se ha vuelto más peligrosa con la combinación de las capacidades de la botnet Mozi.
Lo que comenzó como un ataque dirigido a un servidor web a principios de 2024 ahora se ha expandido, lo que permite a Androxgh0st explotar vulnerabilidades en dispositivos IoT. El equipo de investigación de amenazas de CloudSEK dicho.
Su último informe afirma que la botnet ahora está equipada con las técnicas avanzadas de Mozi para infectar y propagarse a través de una amplia gama de dispositivos en la red.
Mozi Awakening: una infraestructura de botnet unificada
Mozi, anteriormente conocido por infectar dispositivos IoT como enrutadores Netgear y D-Link, se considera inactivo después de que se active el interruptor de apagado en 2023.
Sin embargo, CloudSEK reveló que Androxgh0st ha incorporado las capacidades de distribución de Mozi, mejorando significativamente su potencial para apuntar a dispositivos IoT.
Al implementar las cargas útiles de Mozi, Androxgh0st ahora cuenta con una infraestructura de botnet consolidada que aprovecha tácticas especiales para infiltrarse en las redes de IoT. Esta fusión permite que la botnet se propague de manera más efectiva a través de dispositivos vulnerables, incluidos enrutadores y otras tecnologías conectadas, lo que la convierte en una fuerza más formidable.
Más allá de su integración con Mozi, Androxgh0st ha ampliado su gama de vulnerabilidades específicas, explotando las debilidades de los sistemas críticos. El análisis de CloudSEK muestra que Androxgh0st ahora está atacando activamente tecnologías clave, incluidas Cisco ASA, Atlassian JIRA y varios marcos PHP.
En los sistemas Cisco ASA, la botnet explota las vulnerabilidades de secuencias de comandos entre sitios (XSS), inyectando secuencias de comandos maliciosas a través de parámetros no especificados. También apunta a Atlassian JIRA con una vulnerabilidad de recorrido de ruta (CVE-2021-26086), que permite a los atacantes obtener acceso no autorizado a archivos confidenciales. En los marcos PHP, Androxgh0st explota vulnerabilidades más antiguas, como las de Laravel (CVE-2018-15133) y PHPUnit (CVE-2017-9841), lo que permite el acceso por puerta trasera a los sistemas afectados.
El panorama de amenazas de Androxgh0st no se limita a vulnerabilidades más antiguas. También es capaz de explotar vulnerabilidades recientemente descubiertas, como CVE-2023-1389 en el firmware TP-Link Archer AX21, que permite la ejecución de comandos no autenticados, y CVE-2024-36401 en GeoServer, una vulnerabilidad que podría provocar ataques remotos. ejecución de código. .
La botnet ahora también utiliza técnicas de relleno de credenciales de fuerza bruta, inyección de comandos e inclusión de archivos para comprometer los sistemas. Al aprovechar las tácticas de Mozi centradas en IoT, amplió significativamente su influencia geográfica, propagando sus infecciones por regiones de Asia, Europa y más allá.
CloudSEK recomienda que las organizaciones fortalezcan su postura de seguridad para reducir posibles ataques. Si bien la solución inmediata es esencial, también es importante la supervisión proactiva del tráfico de la red. Al monitorear conexiones salientes sospechosas e identificar intentos de inicio de sesión inusuales, especialmente desde dispositivos IoT, las organizaciones pueden detectar signos tempranos de colaboración Androxgh0st-Mozi.