AndroxGh0st kötü amaçlı yazılımının arkasındaki tehdit aktörleri, artık internete yönelik çeşitli uygulamaları etkileyen daha geniş bir dizi güvenlik açığından yararlanıyor ve aynı zamanda Mozi botnet kötü amaçlı yazılımını da dağıtıyor.
CloudSEK yeni bir raporunda, “Bu botnet, kalıcı erişimi sürdürmek için uzaktan kod yürütme ve kimlik bilgisi çalma yöntemlerini kullanıyor ve kritik altyapılara sızmak için yama yapılmamış güvenlik açıklarından yararlanıyor.” dedi.
AndroxGh0st, Amazon Web Services (AWS), SendGrid ve Twilio gibi hizmetlere ilişkin hassas verileri hedefleyen Laravel uygulamalarını hedeflemesiyle bilinen Python tabanlı bir bulut saldırı aracına verilen addır.
En az 2022’den beri aktif olan bu sistem, ilk erişimi kazanmak ve ayrıcalıkları yükseltmek için daha önce Apache web sunucusundaki (CVE-2021-41773), Laravel Framework (CVE-2018-15133) ve PHPUnit’teki (CVE-2017-9841) kusurlardan yararlanmıştı. ve güvenliği ihlal edilmiş sistemler üzerinde kalıcı kontrol oluşturun.
Bu Mart ayının başlarında, ABD siber güvenlik ve istihbarat teşkilatları, saldırganların “kurbanların tespiti ve hedef ağlarda istismar edilmesi” için bir botnet oluşturmak amacıyla AndroxGh0st kötü amaçlı yazılımını kullandıklarını ortaya çıkardı.
CloudSEK’in en son analizi, kötü amaçlı yazılımın artık ilk erişim için bir dizi güvenlik açığından faydalanmasıyla birlikte, hedefleme odağının stratejik olarak genişlediğini ortaya koyuyor:
- CVE-2014-2120 (CVSS puanı: 4,3) – Cisco ASA WebVPN oturum açma sayfası XSS güvenlik açığı
- CVE-2018-10561 (CVSS puanı: 9,8) – Dasan GPON kimlik doğrulamasını atlama güvenlik açığı
- CVE-2018-10562 (CVSS puanı: 9,8) – Dasan GPON komut ekleme güvenlik açığı
- CVE-2021-26086 (CVSS puanı: 5,3) – Atlassian Jira yolu geçiş güvenlik açığı
- CVE-2021-41277 (CVSS puanı: 7,5) – Metabase GeoJSON haritasında yerel dosya ekleme güvenlik açığı
- CVE-2022-1040 (CVSS puanı: 9,8) – Sophos Güvenlik Duvarı kimlik doğrulamasını atlama güvenlik açığı
- CVE-2022-21587 (CVSS puanı: 9,8) – Oracle E-Business Suite (EBS) Kimliği doğrulanmamış rastgele dosya yükleme güvenlik açığı
- CVE-2023-1389 (CVSS puanı: 8,8) – TP-Link Archer AX21 ürün yazılımı komut ekleme güvenlik açığı
- CVE-2024-4577 (CVSS puanı: 9,8) – PHP CGI argüman ekleme güvenlik açığı
- CVE-2024-36401 (CVSS puanı: 9,8) – GeoServer uzaktan kod yürütme güvenlik açığı
Şirket, “Botnet, ortak yönetici kullanıcı adları arasında geçiş yapıyor ve tutarlı bir şifre modeli kullanıyor” dedi. “Hedef URL, WordPress sitelerinin arka uç yönetim panosu olan /wp-admin/ adresine yönlendiriyor. Kimlik doğrulama başarılı olursa, kritik web sitesi kontrollerine ve ayarlarına erişim kazanır.”
Saldırıların ayrıca Netgear DGN cihazlarındaki ve Dasan GPON ev yönlendiricilerindeki kimliği doğrulanmamış komut yürütme kusurlarından yararlanarak farklı harici sunuculardan (“200.124.241”) “Mozi.m” adlı bir veri yükünü düşürdüğü de gözlemlendi.[.]140″ ve “117.215.206”[.]216″).
Mozi, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere IoT cihazlarını kötü amaçlı bir ağa dahil etme konusunda iyi bilinen bir botnet’tir.
Kötü amaçlı yazılım yazarları, Eylül 2021’de Çinli kolluk kuvvetleri tarafından tutuklanırken, kimliği belirsiz tarafların kötü amaçlı yazılımı sonlandırmak için bir kill switch komutu verdiği Ağustos 2023’e kadar Mozi faaliyetlerinde hızlı bir düşüş gözlemlenmedi. Botnet yaratıcılarının ya da Çinli yetkililerin onu ortadan kaldırmak için bir güncelleme dağıttıklarından şüpheleniliyor.
AndroxGh0st’un Mozi entegrasyonu, olası bir operasyonel ittifak olasılığını artırdı ve böylece her zamankinden daha fazla cihaza yayılmasına olanak tanıdı.
CloudSEK, “AndroxGh0st sadece Mozi ile işbirliği yapmakla kalmıyor, aynı zamanda Mozi’nin belirli işlevlerini (örn. Nesnelerin İnterneti enfeksiyonu ve yayılma mekanizmaları) standart operasyon setine dahil ediyor.” dedi.
“Bu, AndroxGh0st’in Mozi’nin yayılım gücünden yararlanarak daha fazla IoT cihazını etkilemek için genişlediği ve Mozi’nin veri yüklerini aksi takdirde ayrı enfeksiyon rutinleri gerektiren hedeflere ulaşmak için kullandığı anlamına geliyor.”
“Her iki botnet de aynı komuta altyapısını kullanıyorsa, bu yüksek düzeyde operasyonel entegrasyona işaret eder, bu da muhtemelen hem AndroxGh0st hem de Mozi’nin aynı siber suçlu grubunun kontrolü altında olduğu anlamına gelir. Bu paylaşılan altyapı, daha geniş bir cihaz yelpazesi üzerindeki kontrolü kolaylaştıracaktır. , birleşik botnet operasyonlarının hem etkinliğini hem de verimliliğini artırıyor.”