- 13,646
- 20
- 8 Ноя 2022
Неуловимые кибератаки обходят даже самые современные системы безопасности.
В начале 2024 года специалисты компании CloudSEK обнаружили возрождение легендарного ботнета Mozi, который теперь действует под новым именем — Androxgh0st. Этот ботнет активно использует уязвимости в веб-серверах и IoT -устройствах, таких как Cisco ASA, Atlassian JIRA и PHP-платформы, чтобы проникать в критические инфраструктуры.
Для просмотра ссылки Войдиили Зарегистрируйся CloudSEK, с января 2024 года Androxgh0st начал применять вредоносные тактики, ранее свойственные Mozi. В результате ботнет получил возможность не только атаковать веб-серверы, но и масштабировать свои операции, нацеливаясь на устройства интернета вещей (IoT).
Androxgh0st использует сложные методы для удалённого выполнения кода и кражи учётных данных, что позволяет долго сохранять доступ к заражённым системам. Эксперты отмечают активное применение уязвимостей, ранее описанных в бюллетенях CISA, в том числе уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 8.8) в маршрутизаторах TP-Link и Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8) в системе GeoServer.
Помимо этого, ботнет использует такие уязвимости, как утечка данных через Laravel-фреймворк и удалённое выполнение команд на серверах Apache. Эти атаки позволяют злоумышленникам получать доступ к конфиденциальным данным и устанавливать вредоносные файлы для последующего управления системами.
Ранее, в 2021 году, китайские власти задержали создателей Mozi, что якобы привело к блокировке его командных серверов. Однако, несмотря на это, оставшиеся элементы инфраструктуры были интегрированы в Androxgh0st, что дало новому ботнету возможность использовать ресурсы Mozi для расширения охвата своих атак.
Особую тревогу вызывает то, что Androxgh0st успешно обходит многие защитные механизмы и использует брутфорс-атаки для доступа к административным панелям на сайтах, работающих на WordPress. Это позволяет злоумышленникам устанавливать вредоносные файлы и организовывать дальнейшие атаки на серверы.
Эксперты CloudSEK настоятельно рекомендуют организациям незамедлительно установить патчи для закрытия вышеперечисленных уязвимостей, а также регулярно проверять свои системы на признаки компрометации. Основные меры защиты включают мониторинг сетевого трафика, проверку логов веб-серверов и использование инструментов обнаружения и ответа на инциденты.
В начале 2024 года специалисты компании CloudSEK обнаружили возрождение легендарного ботнета Mozi, который теперь действует под новым именем — Androxgh0st. Этот ботнет активно использует уязвимости в веб-серверах и IoT -устройствах, таких как Cisco ASA, Atlassian JIRA и PHP-платформы, чтобы проникать в критические инфраструктуры.
Для просмотра ссылки Войди
Androxgh0st использует сложные методы для удалённого выполнения кода и кражи учётных данных, что позволяет долго сохранять доступ к заражённым системам. Эксперты отмечают активное применение уязвимостей, ранее описанных в бюллетенях CISA, в том числе уязвимость Для просмотра ссылки Войди
Помимо этого, ботнет использует такие уязвимости, как утечка данных через Laravel-фреймворк и удалённое выполнение команд на серверах Apache. Эти атаки позволяют злоумышленникам получать доступ к конфиденциальным данным и устанавливать вредоносные файлы для последующего управления системами.
Ранее, в 2021 году, китайские власти задержали создателей Mozi, что якобы привело к блокировке его командных серверов. Однако, несмотря на это, оставшиеся элементы инфраструктуры были интегрированы в Androxgh0st, что дало новому ботнету возможность использовать ресурсы Mozi для расширения охвата своих атак.
Особую тревогу вызывает то, что Androxgh0st успешно обходит многие защитные механизмы и использует брутфорс-атаки для доступа к административным панелям на сайтах, работающих на WordPress. Это позволяет злоумышленникам устанавливать вредоносные файлы и организовывать дальнейшие атаки на серверы.
Эксперты CloudSEK настоятельно рекомендуют организациям незамедлительно установить патчи для закрытия вышеперечисленных уязвимостей, а также регулярно проверять свои системы на признаки компрометации. Основные меры защиты включают мониторинг сетевого трафика, проверку логов веб-серверов и использование инструментов обнаружения и ответа на инциденты.
- Источник новости
- www.securitylab.ru
