Yeni CloudSek bulguları androxgh0st botnet gelişiyor. UC San Diego da dahil olmak üzere akademik kurumlar hit. Bu sofistike tehdidin RCE ve web kabuklarını nasıl kullandığını ve buna karşı korumak için adımları keşfedin.
CloudSek’in hackread.com ile paylaştığı yakın tarihli bir soruşturma, Androxgh0st Botnet’in operasyonlarında önemli bir evrim ortaya çıkararak sistemleri tehlikeye atma yeteneğinde keskin bir artış gösteriyor. İlk olarak 2023’ün başlarında gözlemlenen Botnet, akademik kurumlara ait yanlış yapılandırılmış sunucuların kullanılması da dahil olmak üzere daha geniş bir başlangıç erişim yönteminden yararlanıyor.
Özellikle, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ocak 2024’te AndroxGH0ST’nin genişlemesi hakkında farkındalık yaratarak bir güvenlik danışmanlığı yayınladı.
Anahtar hedefler ve taktikler
CloudSek’in bulguları, BOTNET’in 2024’teki daha önceki bir rapordan bu yana saldırı vektörleri cephaneliğini yaklaşık% 50 genişlettiğini göstermektedir. Keşifle ilgili bir Keşif, San Diego (“Usarhythms”) bir alt alanda barındırılan bir komuta ve kontrol (C2) logger paneli idi. ABD Basketbol Erkekleri U19 milli takımı için içerikle ilişkilidir.
Bu, BOTNET operatörlerinin kötü niyetli altyapılarını barındırmak için meşru, ancak savunmasız, kamusal alanlardan yararlandığı ve tespiti daha zor hale getirdiği bir eğilimi göstermektedir. Daha önce, CloudSek ayrıca botnet’in bir Jamaika etkinlik toplayıcı platformunda logger’ı barındırdığını bildirdi.
AndroxGH0ST BOTNET, WordPress Plugins ve Lantronix IoT cihazlarındaki sorunlarla birlikte Apache Shiro ve Spring Framework gibi popüler yazılım çerçevelerindeki iyi bilinen güvenlik açıklarından yararlanır. Bu istismarların, yetkisiz kod çalıştırma, hassas bilgiler çalma ve hatta tehlikeye atılan sistemlerde kripto para madenciliği başlatma yeteneği de dahil olmak üzere ciddi sonuçları vardır.
CloudSek, ilk raporunda AndroxGH0ST operatörlerinin, 2025 ortasına kadar araç setlerine yeni kötü amaçlı programlar sunacağını tahmin etmişti, bu da şimdi ortaya çıkıyor gibi görünüyor.
Tehdidi anlamak
Şirketin raporuna göre, AndroxGH0ST BOTNET, bir sisteme giden yol olan çeşitli başlangıç erişim vektörleri (IAVS) aracılığıyla ilk erişimi kazanıyor. İçeri girdikten sonra saldırganlar, komut ve kontrol (C2) sunucuları aracılığıyla uzlaşmış cihazlarla iletişim kurarlar. Anahtar hedef, uzak bilgisayarlarda kendi kodlarını çalıştırmalarını sağlayan uzaktan kod yürütme (RCE).
Bu genellikle JNDI enjeksiyonu ve OGNL enjeksiyonu gibi karmaşık yöntemler kullanılarak, özellikle Java tabanlı uygulamalara karşı etkilidir. Bu gelişmiş teknikler, AndroxGH0ST’nin web kabuklarını kurarak sıklıkla güvenliği atlamasına ve sürekli kontrolü sürdürmesine izin verir.
AndroxgH0ST’ye karşı koruma
Bu gelişmeler ışığında, kuruluşlar, özellikle akademik kurumlar ve etkilenen yazılımı kullananların derhal harekete geçmeleri istenmektedir. CloudSek, Spring4shell ve Apache Shiro’yu etkileyenler gibi tanımlanmış CVES’e karşı savunmasız tüm sistemlerin yamalanmasını önerir.
RMI, LDAP ve JNDI gibi belirli protokoller için giden ağ trafiğini kısıtlamak da çok önemlidir. Gibi web sitesi eklentilerini düzenli olarak denetleme Pop -up üreticisi WordPress’te ve olağandışı dosya etkinliğinin izlenmesi, AndroxGH0ST uzlaşmalarını önlemede ve tespit etmede de hayati adımlardır.
“Çin bağlantılı kitlesel gözetim kampanyalarına daha önceki odaklanmasından çok daha geniş bir sömürü stratejisine kaydırarak, Botnet’i JNDI enjeksiyonu, OGNL sömürüsü, Covers dahil CVV’ler de dahil olmak üzere CVVES de dahil olmak üzere, Koushik Pal, Bulut, Araştırma, Cloudsk, Cloud,.