Новости Ботнет Mozi переродился: Androxgh0st активно охотится на серверы и IoT

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
Неуловимые кибератаки обходят даже самые современные системы безопасности.


9dttgclzwgjwokfvxg1w3pq4jtjnhroq.jpg


В начале 2024 года специалисты компании CloudSEK обнаружили возрождение легендарного ботнета Mozi, который теперь действует под новым именем — Androxgh0st. Этот ботнет активно использует уязвимости в веб-серверах и IoT -устройствах, таких как Cisco ASA, Atlassian JIRA и PHP-платформы, чтобы проникать в критические инфраструктуры.

Для просмотра ссылки Войди или Зарегистрируйся CloudSEK, с января 2024 года Androxgh0st начал применять вредоносные тактики, ранее свойственные Mozi. В результате ботнет получил возможность не только атаковать веб-серверы, но и масштабировать свои операции, нацеливаясь на устройства интернета вещей (IoT).

Androxgh0st использует сложные методы для удалённого выполнения кода и кражи учётных данных, что позволяет долго сохранять доступ к заражённым системам. Эксперты отмечают активное применение уязвимостей, ранее описанных в бюллетенях CISA, в том числе уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8.8) в маршрутизаторах TP-Link и Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8) в системе GeoServer.

Помимо этого, ботнет использует такие уязвимости, как утечка данных через Laravel-фреймворк и удалённое выполнение команд на серверах Apache. Эти атаки позволяют злоумышленникам получать доступ к конфиденциальным данным и устанавливать вредоносные файлы для последующего управления системами.

Ранее, в 2021 году, китайские власти задержали создателей Mozi, что якобы привело к блокировке его командных серверов. Однако, несмотря на это, оставшиеся элементы инфраструктуры были интегрированы в Androxgh0st, что дало новому ботнету возможность использовать ресурсы Mozi для расширения охвата своих атак.

Особую тревогу вызывает то, что Androxgh0st успешно обходит многие защитные механизмы и использует брутфорс-атаки для доступа к административным панелям на сайтах, работающих на WordPress. Это позволяет злоумышленникам устанавливать вредоносные файлы и организовывать дальнейшие атаки на серверы.

Эксперты CloudSEK настоятельно рекомендуют организациям незамедлительно установить патчи для закрытия вышеперечисленных уязвимостей, а также регулярно проверять свои системы на признаки компрометации. Основные меры защиты включают мониторинг сетевого трафика, проверку логов веб-серверов и использование инструментов обнаружения и ответа на инциденты.
 
Источник новости
www.securitylab.ru

Похожие темы