Mozi kao Androxgh0st Botnet

U digitalnom svetu gdje se zlonamjerne prijetnje stalno razvijaju, jedan zlonamjerni entitet se pojavio kao značajna briga za organizacije širom sveta – zlonamjerni softver AndroxGh0st. Ovaj alat, zasnovan na Python programskom jeziku, je poznat po svojoj sposobnosti da cilja Laravel aplikacije i osjetljive podatke sa servisa kao što su Amazon Web Services (AWS), SendGrid i Twilio. Istraživanje sigurnosne kompanije CloudSEK pokazuje da je nedavno proširio svoj arsenal eksploatacije, što predstavlja rastuću prijetnju za interneta stvari uređaje (eng. Internet of Things – IoT) i mreže u oblaku.

Androxgh0st

Mozi kao Androxgh0st Botnet; Source: Bing Image Creator

ANDROXGH0ST BOTNET

Od kada se prvi put pojavio 2022. godine, AndroxGh0st koristi ranjivosti kao što su CVE-2021-41773 na Apache web serveru i CVE-2018-15133 i CVE-2017-9841 u Laravel radnom okruženju (eng. framework) i PHPUnit-u, respektivno. Ove ranjivosti su mu omogućili da dobije početni pristup, eskalira privilegije i uspostavi stalnu kontrolu nad kompromitovanim sistemima.

Međutim, od januara 2024. godine, kada su Federalni istražni biro (eng. Federal Bureau of Investigation – FBI) i Agencija za sajber bezbjednost i infrastrukturnu bezbjednost (eng. Cybersecurity and Infrastructure Security Agency – CISA) izdali zajedničke preporuke za zlonamjerni softver AndroxGh0st, botnet operateri su proširili svoj opseg integrišući eksploatacije za dodatne ranjivosti izvan interneta stvari uređaja (IoT). Ove nove mogućnosti uključuju tehnologije kao što su Cisco ASA, Atlassian JIRA, Metabase GeoJSON, Oracle EBS i Sophos Firewall, naglašavajući povećanu aktivnost botnet operatera dok ciljaju na ranjivosti internet aplikacija kako bi dobili početni pristup.

Jedan od najzabrinjavajućih aspekata AndroxGh0st zlonamjernog softvera je njegova sposobnost da ukrade akreditive u oblaku kada zarazi sistem. Ova mogućnost omogućava botnet operaterima da se kreću bočno (eng. lateral movement) unutar ugrožene mreže, potencijalno uzrokujući veliku štetu.

 

Mozi botnet

Mozi botnet je bio je poznat po svojoj sposobnosti da se infiltrira u mreže i izvrši distribuirane napade uskraćivanja usluge (eng. distributed denial-of-service – DDoS). Ova zlonamjerna mreža kompromitovanih uređaja interneta stvari (IoT) predstavljala je značajne rizike za organizacije širom sveta, pokazujući evolucionu prirodu koja nastavlja da se prilagođava i postavlja nove izazove.

Poreklo Mozi botnet mreže inficiranih uređaja se može pratiti do 2019. godine kada je prvi put otkriven. Od tada je primijećeno da se koriste ranjivosti u izvršavanju komandi bez autentifikacije na različitim interneta stvari (IoT) uređajima kao što su Netgear DGN uređaji i Dasan GPON kućni ruteri. Ovo mu omogućavalo da radi kao DDoS botnet, preplavljujući mete sa saobraćajem i izazivajući značajne poremećaje.

Zlonamjerne aktere iza Mozi botnet mreže inficiranih uređaja uhapsili su kineski zvaničnici za sprovođenje zakona u septembru 2021. godine, međutim, nagli pad aktivnosti nije primijećen sve do avgusta 2023. godine kada je neidentifikovana strana izdala komandu za prekid (eng. kill switch command) da bi prekinula zlonamjerni softver. Sumnja se da su to ili botnet zlonamjerni akteri ili kineske vlasti koje su distribuirale ažuriranje kako bi ga demontirali.

Sad su primijećeni značajni pomaci u AndroxGh0st botnet mreže inficiranih uređaja, otkrivajući njegovu stratešku ekspanziju i integraciju sa elementima iz Mozi botnet mreže inficiranih uređaja. Mozi botnet integracija sa AndroxGh0st mrežom inficiranih uređaja sugeriše potencijalni operativni savez, omogućavajući zlonamjernom softveru da se proširi na više uređaja nego ikada ranije. Ovo implicira da AndroxGh0st koristi Mozi botnet moć širenja da inficira više interneta stvari (IoT) uređaja, koristeći Mozi botnet korisno opterećenje za postizanje ciljeva koji bi inače zahtijevali odvojene rutine infekcije.

Ako oba botnet-a koriste istu komandnu infrastrukturu, to sugeriše visok nivo operativne integracije, što vjerovatno ukazuje da i AndroxGh0st i Mozi kontroliše ista grupa zlonamjernih aktera. Ova zajednička infrastruktura bi pojednostavila kontrolu nad širim spektrom uređaja, poboljšavajući efektivnost i efikasnost njihovih kombinovanih botnet operacija. Ova saradnja predstavlja značajnu prijetnju organizacijama širom sveta, jer sada moraju da se bore sa dva moćna soja zlonamjernog softvera koji rade u tandemu.

 

Ranjivosti

Sigurnosni istraživači su otkrili strateško proširenje fokusa ciljanja, pri čemu zlonamjerni softver sada koristi niz ranjivosti za početni pristup:

  • CVE-2014-2120 (CVSS ocjena: 4,3) – Ranjivost na napade međulokacijskog skriptovanja (eng. Cross-Site Scripting – XSS) na Cisco ASA WebVPN stranici za prijavu,
  • CVE-2018-10561 (CVSS ocjena: 9,8) – Dasan GPON ranjivost zaobilaženja autentifikacije,
  • CVE-2018-10562 (CVSS ocjena: 9,8) – Dasan GPON ranjivost ubacivanja komande,
  • CVE-2021-26086 (CVSS ocjena: 5,3) – Atlassian Jira ranjivost kretanja putanjom,
  • CVE-2021-41277 (CVSS ocjena: 7,5) – Ranjivost lokalnog uključivanja datoteka Metabase GeoJSON mape,
  • CVE-2022-1040 (CVSS ocjena: 9,8) – Sophos Firewall ranjivost zaobilaženja autentifikacije,
  • CVE-2022-21587 (CVSS ocjena: 9,8) – Oracle E-Business Suite (EBS) ranjivost pri neautorizovanom proizvoljnom otpremanju datoteka,
  • CVE-2023-1389 (CVSS ocjena: 8,8) – TP-Link Archer AX21 ranjivost ubrizgavanja komandi upravljačkog softvera (eng. firmware),
  • CVE-2024-4577 (CVSS ocjena: 9,8) – PHP CGI ranjivost ubrizgavanja parametara,
  • CVE-2024-36401 (CVSS ocjena: 9,8) – GeoServer ranjivost u izvršavanju udaljenog kôda.

 

ZAKLJUČAK

Zlonamjerni softver AndroxGh0st predstavlja značajnu prijetnju u digitalnom prostoru, posebno kada se kombinuje sa Mozi botnet mrežom inficiranih uređaja. Ovaj opasan duo iskorištava različite ranjivosti u različitim softverskim sistemima.

Primijećeno je da zlonamjerni softver AndroxGh0st pokazuje napredno ponašanje koje zahteva hitnu pažnju organizacija koje imaju za cilj da zaštite svoje kritične sisteme. Funkcionisanje zlonamjernog softvera uključuje iskorištavanje različitih ranjivosti, uključujući ubrizgavanje komandi, popunjavanja akreditiva (eng. credential stuffing) i iskorištavanje ranjivosti fokusiranih na internet stvari (IoT). Ova svestranost vektora napada čini ga ozbiljnim protivnikom koji može zaobići više slojeva odbrambenih mehanizama.

Integracija AndroxGh0st botnet mreže sa Mozi botnet mrežom inficiranih uređaja dodatno pojačava prijetnju koju predstavljaju ovi entiteti. Kombinovane mogućnosti oba botnet-a mogu potencijalno dovesti do razornijih napada, naglašavajući potrebu za povećanom budnošću i proaktivnim odbrambenim strategijama.

Razumijevanjem njihovih operativnih taktika i primjenom robusnih zaštitnih mjera, organizacije mogu bolje da zaštite svoju kritičnu infrastrukturu od ovih nemilosrdnih protivnika. Sajber bezbjednost je beskrajna borba, a informisanje ostaje najbolja odbrana.

 

ZAŠTITA

Kako bi se efikasno zaštitili sistemi od prijetnje koju predstavlja AndroxGh0st botnet, ključno je primijeniti robusne mjere sajber bezbjednosti. Evo preporučenih strategija za zaštitu:

  1. Redovno ažurirati sve aplikacije i sisteme da bi se ranjivosti svele na minimum. Davati prioritet kritičnim ažuriranjima koja prvo rješavaju bezbjednosne propuste. Ovaj proaktivni pristup može značajno smanjiti rizik od eksploatacije od strane AndroxGh0st botnet mreže inficiranih uređaja,
  2. Primijeniti jake politike lozinki za korisničke naloge širom mreže. Uvjeriti se da svaki nalog ima jedinstvenu, jaku lozinku da bi se spriječio neovlašteni pristup. Redovno ažurirati i mijenjati ove lozinke kao dodatni nivo bezbjednosti,
  3. Podijeliti mrežu na manje segmente da bi se ograničilo širenje zlonamjernog softvera kao što je AndroxGh0st botnet u slučaju da uspije da probije jedan segment. Ovaj pristup može pomoći u suzbijanju potencijalnih prijetnji, smanjujući njihov uticaj na cjelokupni sistem,
  4. Primijeniti sisteme za otkrivanje i prevenciju upada (eng. Intrusion Detection and Prevention Systems – IDPS) rješenja koja nadgledaju mrežni saobraćaj u potrazi za sumnjivim aktivnostima u vezi sa AndroxGh0st ili sličnim zlonamjernim softverom. Ovi sistemi mogu upozoriti kada otkriju potencijalno štetno ponašanje, omogućavajući da se brzo preduzmu akcije za ublažavanje prijetnji,
  5. Implementirati softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji kontinuirano nadgledaju krajnje uređaje u potrazi za znakovima ugrožavanja od strane AndroxGh0st ili drugog zlonamjernog softvera. Ovi alati mogu pomoći u ranoj identifikaciji infekcija, omogućavajući brz odgovor i pravovremene napore za sanaciju,
  6. Obrazovati zaposlene o rizicima koje predstavlja AndroxGh0st i kako da prepoznaju potencijalne prijetnje. Naučiti ih najboljim praksama za bezbjedno korišćenje interneta, rukovanje elektronskom poštom i preuzimanje datoteka iz nepoznatih izvora. Dobro informisana radna snaga je ključna odbrana od sajber napada,
  7. Implementirati autentifikacija u više koraka (eng. Multi-Factor Authentication – MFA) gdje god je to moguće da bi se dodao još jedan nivo bezbjednosti korisničkim nalozima. Ovaj metod zahteva od korisnika da obezbijede više oblika verifikacije pre nego što pristupe osjetljivim informacijama, što otežava zlonamjernim akterima da dobiju neovlašteni pristup,
  8. Sprovoditi redovne revizije sistema da bi se identifikovale potencijalne slabosti koje bi mogao da iskoristi zlonamjerni softver kao što je AndroxGh0st botnet. Pored toga, uključiti i vježbe penetracijskog testiranja da bi se simuliranjem napada u stvarnom svetu procijenila efikasnost odbrane organizacije. Ovaj proaktivni pristup može pomoći da se ostane korak ispred prijetnji koje se razvijaju kao što je AndroxGh0st botnet.

Prateći ove preporuke, moguće je značajno smanjiti rizik koji predstavlja AndroxGh0st botnet i drugi zlonamjerni softver i za preduzeća i za pojedince. Korisnici i organizacije treba da budu oprezni, da ažuriraju svoje sisteme i uvijek budu spremni za potencijalne sajber napade.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.