CloudSek’in Triad ekibi, Androxgh0st Botnet’in kalıcı ve dinamik bir siber telden olduğu şok edici bir keşif yaptı.
California Üniversitesi San Diego’nun, özellikle 19 yaş altı Basketbol Dünya Kupası için ABD Basketbol Erkekleri U19 milli takımıyla ilişkili “Usarhythms” portalı bir alt alanını hedefledi.
Bu, Botnet’in taktiklerinde önemli bir yükselişe işaret eder ve kötü niyetli faaliyetleri maskelemek için güvenilir akademik alanlardan yararlanır.
.png
)
Sofistike siber tehdit
2023’teki ilk operasyonlarından bu yana, AndroxGH0ST cephaneliğini genişletti, 20’den fazla güvenlik açığını silahlandırdı ve CloudSek’in son raporundan bu yana ilk erişim vektörlerinde (IAV)% 50 artış kullandı.
BOTNET, Apache Shiro, Spring Framework (kritik Spring4shell CVE-2022-22965 aracılığıyla), “Popup Maker” (CVE-2019-17574) ve Lantronix Premierwave (CVE-2021-21881) gibi IoT cihazlarını (CVE-2021-21881) gibi IoT cihazlarını (CVE-2021-21881) gibi bir dizi platformu hedefler. yükler.
AndroxGH0ST’nin teknik karmaşıklığı, Apache Shiro ve FasterXML Jackson-Databind, Unix komuta enjeksiyonlarını /vb.
Gelişmiş sömürü teknikleri
Ayrıca, BotNet, kalıcı erişimi sürdürmek ve daha fazla kötü amaçlı yazılım dağıtımı kolaylaştırmak için abuok.php (hex2bin kullanarak ve gizlenmiş kod yürütme için değerlendirme) ve myabu.php (rot13 obfusation kullanımı) gibi web kabuklarından yararlanır.
CloudSek’in analizi, “Getwork” ve “Eth_getwork” gibi JSON-RPC istekleri ile yasadışı kripto para madenciliği için uzlaşmış sistemlerin yeniden kullanıldığını gösteren kriptominasyon faaliyetlerine de işaret ediyor.
Akademik altyapının kötüye kullanılması sadece veri ihlallerini ve düzenleyici maruziyeti riske atmakla kalmaz, aynı zamanda güvenilir kurumların itibarını da karartır.
Azaltma stratejileri, bilinen CVE’lerin yamasını, giden JNDI ve RMI trafiğini kısıtlamak ve şüpheli PHP dosyaları için düzenli denetimlerin yanı sıra web uygulaması güvenlik duvarlarının (WAF) dağıtılmasını içerir.
CloudSek, webshell varyantlarını tespit etmek için Yara kuralları sağlamıştır ve kuruluşları, Oast.me ve Oast.fun gibi alanlara işaretleme gibi uzlaşma göstergelerini (IOCS) izlemeye çağırır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip | Yorumlar |
|---|---|---|
| cv032vemsb87jtt2p11g5h8xztka6kruj[.]şerbetçiotu fırını[.]Ben | Alt alan | Lantronix Wlanscanssid Komut Enjeksiyonu |
| CJ7409I4T88UKB0PUBLGJTKYT534MNRBY[.]şerbetçiotu fırını[.]canlı | Alt alan | Spring4shell |
| cv032vemsb87jtt2p11gwf68p1xw7rgtk[.]şerbetçiotu fırını[.]Ben | Alt alan | Fastjson-v1.2.47 RCE |
| Chke3769l5m6jbj8hq90fu71kkky5x63[.]şerbetçiotu fırını[.]eğlence | Alt alan | Apache Shiro, Fasterxml Jackson-Databind |
| 185.172.128[.]93 | IP adresi | CVE-2024-4577 |
| 9E1FB14B747B5BDAF817845007A47752 | MD5 karma | Web Shell (abuok.php) |
| D6FE92CA18570F940A720E51AF77F72 | MD5 karma | Web Shell (myabu.php) |
| f65749ddf93e890b48b3bde77b1302aa | MD5 karma | Web Shell (scwj.php) |
| 5A12416857547341493B436299E9B886 | MD5 karma | Web Shell (baocun.php) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin