2024-11-08T12:45:00+03:00
בתחילת 2024, מומחי CloudSEK גילו את תחייתו של הבוטנט האגדי Mozi, שפועל כעת תחת שם חדש – Androxgh0st. הבוטנט הזה מנצל באופן פעיל פגיעויות בשרתי אינטרנט ובמכשירי IoT כגון Cisco ASA, Atlassian JIRA ופלטפורמות PHP כדי לחדור לתשתיות קריטיות.
לפי נתונים CloudSEK, מאז ינואר 2024, Androxgh0st החלה להשתמש בטקטיקות זדוניות שאפיינו בעבר את Mozi. כתוצאה מכך, הבוטנט הצליח לא רק לתקוף שרתי אינטרנט, אלא גם להרחיב את פעולותיו על ידי מיקוד למכשירי האינטרנט של הדברים (IoT).
Androxgh0st משתמש בשיטות מתוחכמות לביצוע קוד מרחוק וגניבת אישורים, מה שמאפשר גישה ארוכת טווח למערכות נגועות. מומחים מציינים את השימוש הפעיל בפגיעויות שתוארו בעבר בעלוני CISA, כולל הפגיעות CVE-2023-1389 (CVSS: 8.8) בנתבי TP-Link ו CVE-2024-36401
(CVSS: 9.8) במערכת GeoServer.
בנוסף, הבוטנט מנצל נקודות תורפה כמו דליפת נתונים דרך מסגרת Laravel וביצוע פקודות מרחוק בשרתי Apache. התקפות אלו מאפשרות לתוקפים לגשת לנתונים רגישים ולהתקין קבצים זדוניים כדי לתפעל מערכות מאוחר יותר.
מוקדם יותר ב-2021 עצרו הרשויות הסיניות את יוצרי מוזי, מה שהוביל לכאורה לחסימת שרתי הפיקוד והבקרה שלו. עם זאת, למרות זאת, שאר האלמנטים של התשתית שולבו ב-Androxgh0st, מה שנותן לבוטנט החדש את ההזדמנות להשתמש במשאבי Mozi כדי להרחיב את טווח ההתקפות שלו.
מדאיג במיוחד הוא ש-Androxgh0st עוקפת בהצלחה מנגנוני אבטחה רבים ומשתמשת בהתקפות כוח גס כדי לגשת לפאנלים ניהוליים באתרים הפועלים על וורדפרס. זה מאפשר לתוקפים להתקין קבצים זדוניים ולהפעיל התקפות נוספות על שרתים.
מומחי CloudSEK ממליצים בחום לארגונים להתקין מיד תיקונים כדי לסגור את הפגיעויות הנ"ל, כמו גם לבדוק באופן קבוע את המערכות שלהם לאיתור סימני פשרה. אמצעי הגנה בסיסיים כוללים ניטור תעבורת רשת, בדיקת יומני שרת אינטרנט ושימוש בכלי זיהוי ותגובה של אירועים.
