به گزارش زوم تک از The Hacker News، عاملان تهدید پشت بدافزار AndroxGh0st اکنون در حال سوءاستفاده از مجموعهای گستردهتر از نقص های امنیتی هستند که برنامههای مختلف متصل به اینترنت را تحت تأثیر قرار میدهند و همزمان بدافزار بات نت Mozi را نیز مستقر میکنند.
آسیب پذیری خدمات ابری و اینترنت اشیا
CloudSEK در گزارش جدیدی اعلام کرد: “این بات نت از روشهای اجرای کد از راه دور و سرقت اعتبارنامه برای حفظ دسترسی مداوم استفاده میکند و از آسیبپذیریهای وصله نشده برای نفوذ به زیرساختهای حیاتی بهره میبرد.”
AndroxGh0st نامی است که به یک ابزار حمله ابری مبتنی بر پایتون داده شده است که به دلیل هدف قرار دادن برنامههای Laravel با هدف سرقت دادههای حساس مربوط به سرویسهایی مانند Amazon Web Services (AWS)، SendGrid و Twilio شناخته شده است.
این بدافزار که حداقل از سال ۲۰۲۲ فعال بوده است، قبلاً از نقصهایی در وب سرور آپاچی (CVE-2021-41773)، چارچوب Laravel (CVE-2018-15133) و PHPUnit (CVE-2017-9841) برای به دست آوردن دسترسی اولیه، افزایش امتیازات و ایجاد کنترل مداوم بر سیستمهای هک شده استفاده کرده است.
در اوایل ژانویه امسال، آژانسهای امنیت سایبری و اطلاعاتی ایالات متحده فاش کردند که مهاجمان در حال استقرار بدافزار AndroxGh0st برای ایجاد یک بات نت برای “شناسایی و بهرهبرداری از قربانیان در شبکههای هدف” هستند.
آخرین تحلیل CloudSEK گسترش استراتژیک تمرکز هدفگیری را نشان میدهد، به طوری که این بدافزار اکنون از مجموعهای از آسیبپذیریها برای دسترسی اولیه سوءاستفاده میکند:
CVE-2014-2120 (امتیاز CVSS: 4.3) – آسیبپذیری XSS در صفحه ورود Cisco ASA WebVPN
CVE-2018-10561 (امتیاز CVSS: 9.8) – آسیبپذیری دور زدن احراز هویت Dasan GPON
CVE-2018-10562 (امتیاز CVSS: 9.8) – آسیبپذیری تزریق فرمان Dasan GPON
CVE-2021-26086 (امتیاز CVSS: 5.3) – آسیبپذیری پیمایش مسیر Atlassian Jira
CVE-2021-41277 (امتیاز CVSS: 7.5) – آسیبپذیری گنجاندن فایل محلی نقشه GeoJSON Metabase
CVE-2022-1040 (امتیاز CVSS: 9.8) – آسیبپذیری دور زدن احراز هویت Sophos Firewall
CVE-2022-21587 (امتیاز CVSS: 9.8) – آسیبپذیری آپلود فایل دلخواه بدون احراز هویت Oracle E-Business Suite (EBS)
CVE-2023-1389 (امتیاز CVSS: 8.8) – آسیبپذیری تزریق فرمان TP-Link Archer AX21
CVE-2024-4577 (امتیاز CVSS: 9.8) – آسیبپذیری تزریق آرگومان PHP CGI
CVE-2024-36401 (امتیاز CVSS: 9.8) – آسیبپذیری اجرای کد از راه دور GeoServer
این شرکت گفت: “بات نت نامهای کاربری رایج مدیر را بررسی میکند و از یک الگوی رمز عبور ثابت استفاده میکند. URL هدف به /wp-admin/ هدایت میشود که داشبورد مدیریت پشتیبان برای سایتهای وردپرس است. اگر احراز هویت موفقیت آمیز باشد، به کنترلها و تنظیمات حیاتی وب سایت دسترسی پیدا میکند.”
همچنین مشاهده شده است که این حملات از نقصهای اجرای فرمان بدون احراز هویت در دستگاههای Netgear DGN و روترهای خانگی Dasan GPON برای رها کردن یک payload به نام “Mozi.m” از سرورهای خارجی مختلف (“200.124.241[.]140” و “117.215.206[.]216”) استفاده میکنند.
Mozi یکی دیگر از بات نتهای معروف است که سابقه حمله به دستگاههای اینترنت اشیا برای استفاده از آنها در یک شبکه مخرب برای انجام حملات منع سرویس توزیع شده (DDoS) را دارد.
در حالی که سازندگان این بدافزار در سپتامبر ۲۰۲۱ توسط مقامات مجری قانون چین دستگیر شدند، کاهش شدید فعالیت Mozi تا آگوست ۲۰۲۳ مشاهده نشد، زمانی که افراد ناشناس یک فرمان kill switch برای خاتمه دادن به بدافزار صادر کردند. گمان میرود که یا سازندگان بات نت یا مقامات چینی یک بهروزرسانی را برای از کار انداختن آن توزیع کردهاند.
ادغام Mozi توسط AndroxGh0st احتمال یک اتحاد عملیاتی را افزایش داده است و به این ترتیب به آن اجازه میدهد تا بیشتر از قبل در دستگاهها منتشر شود.
CloudSEK گفت: “AndroxGh0st نه تنها با Mozi همکاری میکند، بلکه قابلیتهای خاص Mozi (مانند مکانیسمهای عفونت و انتشار اینترنت اشیا) را در مجموعه استاندارد عملیات خود جاسازی میکند. این به این معنا است که AndroxGh0st گسترش یافته است تا از قدرت انتشار Mozi برای آلوده کردن دستگاههای بیشتر اینترنت اشیا استفاده کند و از payload های Mozi برای دستیابی به اهدافی که در غیر این صورت به روالهای عفونت جداگانه نیاز دارند، استفاده کند.”
“اگر هر دو بات نت از همان زیرساخت فرمان استفاده کنند، به سطح بالایی از ادغام عملیاتی اشاره میکند که احتمالاً به این معناست که هم AndroxGh0st و هم Mozi تحت کنترل همان گروه مجرم سایبری هستند. این زیرساخت مشترک کنترل بر طیف وسیعتری از دستگاهها را بهبود میبخشد.
نظرات در مورد : آسیبپذیری خدمات ابری و اینترنت اشیا در برابر تهدید جدید