- De integratie van Androxgh0st met Mozi vergroot de mondiale risico’s
- IoT-kwetsbaarheden vormen het nieuwe strijdtoneel voor cyberaanvallen
- Proactieve monitoring is essentieel om opkomende botnetbedreigingen te bestrijden
Onderzoekers hebben onlangs een belangrijke evolutie in het Androxgh0st-botnet geïdentificeerd, die gevaarlijker is geworden door de integratie van de mogelijkheden van het Mozi-botnet.
Wat begin 2024 begon als een webservergerichte aanval, is nu uitgebreid, waardoor Androxgh0st kwetsbaarheden in IoT-apparaten kan misbruiken. Het Threat Research-team van CloudSEK heeft gezegd.
Het laatste rapport beweert dat het botnet nu is uitgerust met de geavanceerde technieken van Mozi voor het infecteren en verspreiden over een breed scala aan netwerkapparaten.
De heropleving van Mozi: een uniforme botnetinfrastructuur
Mozi, voorheen bekend vanwege het infecteren van IoT-apparaten zoals Netgear en D-Link-routers, werd verondersteld inactief te zijn na een activering van de killswitch in 2023.
CloudSEK heeft echter onthuld dat Androxgh0st de propagatiemogelijkheden van Mozi heeft geïntegreerd, waardoor het potentieel om IoT-apparaten te targeten aanzienlijk wordt vergroot.
Door de payloads van Mozi in te zetten beschikt Androxgh0st nu over een uniforme botnetinfrastructuur die gebruik maakt van gespecialiseerde tactieken om IoT-netwerken te infiltreren. Door deze fusie kan het botnet zich efficiënter verspreiden via kwetsbare apparaten, waaronder routers en andere verbonden technologie, waardoor het een formidabelere kracht wordt.
Naast de integratie met Mozi heeft Androxgh0st zijn reeks gerichte kwetsbaarheden uitgebreid, waarbij zwakheden in kritieke systemen worden uitgebuit. Uit de analyse van CloudSEK blijkt dat Androxgh0st nu actief grote technologieën aanvalt, waaronder Cisco ASA, Atlassian JIRA en verschillende PHP-frameworks.
In Cisco ASA-systemen maakt het botnet misbruik van cross-site scripting (XSS)-kwetsbaarheden, waarbij kwaadaardige scripts via niet-gespecificeerde parameters worden geïnjecteerd. Het richt zich ook op Atlassian JIRA met een kwetsbaarheid voor padtraversal (CVE-2021-26086), waardoor aanvallers ongeautoriseerde toegang kunnen krijgen tot gevoelige bestanden. In PHP-frameworks maakt Androxgh0st gebruik van oudere kwetsbaarheden zoals die in Laravel (CVE-2018-15133) en PHPUnit (CVE-2017-9841), waardoor achterdeurtoegang tot gecompromitteerde systemen wordt vergemakkelijkt.
Het dreigingslandschap van Androxgh0st beperkt zich niet tot oudere kwetsbaarheden. Het is ook in staat nieuw ontdekte kwetsbaarheden te misbruiken, zoals CVE-2023-1389 in TP-Link Archer AX21-firmware, die niet-geverifieerde opdrachtuitvoering mogelijk maakt, en CVE-2024-36401 in GeoServer, een kwetsbaarheid die kan leiden tot uitvoering van externe code. .
Het botnet maakt nu ook gebruik van brute force-credential stuffing, commando-injectie en technieken voor het opnemen van bestanden om systemen in gevaar te brengen. Door gebruik te maken van de IoT-gerichte tactieken van Mozi heeft het zijn geografische impact aanzienlijk vergroot en zijn infecties verspreid over regio’s in Azië, Europa en daarbuiten.
CloudSEK raadt organisaties aan hun beveiligingspositie te versterken om potentiële aanvallen te beperken. Hoewel onmiddellijke patching essentieel is, is proactieve monitoring van netwerkverkeer ook belangrijk. Door verdachte uitgaande verbindingen te volgen en afwijkende inlogpogingen te detecteren, vooral vanaf IoT-apparaten, kunnen organisaties vroege tekenen van een samenwerking tussen Androxgh0st en Mozi opmerken.