آنتی ویروس پادویش

آسیب‌پذیری خدمات ابری و اینترنت اشیا در برابر تهدید جدید

بدافزار AndroxGh0st با ادغام بات نت Mozi

به گزارش زوم تک از The Hacker News، عاملان تهدید پشت بدافزار AndroxGh0st اکنون در حال سوءاستفاده از مجموعه‌ای گسترده‌تر از نقص‌ های امنیتی هستند که برنامه‌های مختلف متصل به اینترنت را تحت تأثیر قرار می‌دهند و همزمان بدافزار بات نت Mozi را نیز مستقر می‌کنند.

تبلیغ

آسیب‌ پذیری خدمات ابری و اینترنت اشیا

CloudSEK در گزارش جدیدی اعلام کرد: “این بات نت از روش‌های اجرای کد از راه دور و سرقت اعتبارنامه برای حفظ دسترسی مداوم استفاده می‌کند و از آسیب‌پذیری‌های وصله نشده برای نفوذ به زیرساخت‌های حیاتی بهره می‌برد.”

AndroxGh0st نامی است که به یک ابزار حمله ابری مبتنی بر پایتون داده شده است که به دلیل هدف قرار دادن برنامه‌های Laravel با هدف سرقت داده‌های حساس مربوط به سرویس‌هایی مانند Amazon Web Services (AWS)، SendGrid و Twilio شناخته شده است.

این بدافزار که حداقل از سال ۲۰۲۲ فعال بوده است، قبلاً از نقص‌هایی در وب سرور آپاچی (CVE-2021-41773)، چارچوب Laravel (CVE-2018-15133) و PHPUnit (CVE-2017-9841) برای به دست آوردن دسترسی اولیه، افزایش امتیازات و ایجاد کنترل مداوم بر سیستم‌های هک شده استفاده کرده است.

در اوایل ژانویه امسال، آژانس‌های امنیت سایبری و اطلاعاتی ایالات متحده فاش کردند که مهاجمان در حال استقرار بدافزار AndroxGh0st برای ایجاد یک بات نت برای “شناسایی و بهره‌برداری از قربانیان در شبکه‌های هدف” هستند.

آخرین تحلیل CloudSEK گسترش استراتژیک تمرکز هدف‌گیری را نشان می‌دهد، به طوری که این بدافزار اکنون از مجموعه‌ای از آسیب‌پذیری‌ها برای دسترسی اولیه سوءاستفاده می‌کند:

CVE-2014-2120 (امتیاز CVSS: 4.3) – آسیب‌پذیری XSS در صفحه ورود Cisco ASA WebVPN
CVE-2018-10561 (امتیاز CVSS: 9.8) – آسیب‌پذیری دور زدن احراز هویت Dasan GPON
CVE-2018-10562 (امتیاز CVSS: 9.8) – آسیب‌پذیری تزریق فرمان Dasan GPON
CVE-2021-26086 (امتیاز CVSS: 5.3) – آسیب‌پذیری پیمایش مسیر Atlassian Jira
CVE-2021-41277 (امتیاز CVSS: 7.5) – آسیب‌پذیری گنجاندن فایل محلی نقشه GeoJSON Metabase
CVE-2022-1040 (امتیاز CVSS: 9.8) – آسیب‌پذیری دور زدن احراز هویت Sophos Firewall
CVE-2022-21587 (امتیاز CVSS: 9.8) – آسیب‌پذیری آپلود فایل دلخواه بدون احراز هویت Oracle E-Business Suite (EBS)
CVE-2023-1389 (امتیاز CVSS: 8.8) – آسیب‌پذیری تزریق فرمان TP-Link Archer AX21
CVE-2024-4577 (امتیاز CVSS: 9.8) – آسیب‌پذیری تزریق آرگومان PHP CGI
CVE-2024-36401 (امتیاز CVSS: 9.8) – آسیب‌پذیری اجرای کد از راه دور GeoServer
این شرکت گفت: “بات نت نام‌های کاربری رایج مدیر را بررسی می‌کند و از یک الگوی رمز عبور ثابت استفاده می‌کند. URL هدف به /wp-admin/ هدایت می‌شود که داشبورد مدیریت پشتیبان برای سایت‌های وردپرس است. اگر احراز هویت موفقیت آمیز باشد، به کنترل‌ها و تنظیمات حیاتی وب سایت دسترسی پیدا می‌کند.”

همچنین مشاهده شده است که این حملات از نقص‌های اجرای فرمان بدون احراز هویت در دستگاه‌های Netgear DGN و روترهای خانگی Dasan GPON برای رها کردن یک payload به نام “Mozi.m” از سرورهای خارجی مختلف (“200.124.241[.]140” و “117.215.206[.]216”) استفاده می‌کنند.

Mozi یکی دیگر از بات نت‌های معروف است که سابقه حمله به دستگاه‌های اینترنت اشیا برای استفاده از آنها در یک شبکه مخرب برای انجام حملات منع سرویس توزیع شده (DDoS) را دارد.

در حالی که سازندگان این بدافزار در سپتامبر ۲۰۲۱ توسط مقامات مجری قانون چین دستگیر شدند، کاهش شدید فعالیت Mozi تا آگوست ۲۰۲۳ مشاهده نشد، زمانی که افراد ناشناس یک فرمان kill switch برای خاتمه دادن به بدافزار صادر کردند. گمان می‌رود که یا سازندگان بات نت یا مقامات چینی یک به‌روزرسانی را برای از کار انداختن آن توزیع کرده‌اند.

ادغام Mozi توسط AndroxGh0st احتمال یک اتحاد عملیاتی را افزایش داده است و به این ترتیب به آن اجازه می‌دهد تا بیشتر از قبل در دستگاه‌ها منتشر شود.

CloudSEK گفت: “AndroxGh0st نه تنها با Mozi همکاری می‌کند، بلکه قابلیت‌های خاص Mozi (مانند مکانیسم‌های عفونت و انتشار اینترنت اشیا) را در مجموعه استاندارد عملیات خود جاسازی می‌کند. این به این معنا است که AndroxGh0st گسترش یافته است تا از قدرت انتشار Mozi برای آلوده کردن دستگاه‌های بیشتر اینترنت اشیا استفاده کند و از payload های Mozi برای دستیابی به اهدافی که در غیر این صورت به روال‌های عفونت جداگانه نیاز دارند، استفاده کند.”

“اگر هر دو بات نت از همان زیرساخت فرمان استفاده کنند، به سطح بالایی از ادغام عملیاتی اشاره می‌کند که احتمالاً به این معناست که هم AndroxGh0st و هم Mozi تحت کنترل همان گروه مجرم سایبری هستند. این زیرساخت مشترک کنترل بر طیف وسیع‌تری از دستگاه‌ها را بهبود می‌بخشد.

منبع

به این پست امتیاز بدید

نظرات در مورد : آسیب‌پذیری خدمات ابری و اینترنت اشیا در برابر تهدید جدید

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *