E安全消息,研究人员发现Androxgh0st僵尸网络已经与Mozi僵尸网络集成,利用Web应用程序和物联网(IoT)设备的漏洞。
CloudSEK公司的AI数字风险平台研究人员揭露了Androxgh0st僵尸网络的新发展。这个恶意网络最初自2024年1月起针对Web服务器,经过转型后重新出现。
该僵尸网络现在与臭名昭著的Mozi僵尸网络共享组件,后者历史上以感染物联网(IoT)设备而闻名。
Androxgh0st可能已经将Mozi的有效载荷作为模块集成到其僵尸网络架构中,利用其物联网感染和传播机制。这种扩展使Androxgh0st感染更多的IoT设备,而无需单独的感染程序。
此外,研究人员注意到Androxgh0st的攻击方法有所扩展。僵尸网络现在针对的漏洞不仅限于Web服务器,还包括:
思科ASA:利用跨站脚本(XSS)漏洞注入恶意脚本。
Atlassian JIRA:利用路径遍历漏洞(CVE-2021-26086)访问敏感文件。
PHP框架:针对Laravel(CVE-2018-15133)和PHPUnit(CVE-2017-9841)的漏洞以获得后门访问权限。
新漏洞:僵尸网络通过利用最近发现的漏洞如CVE-2023-1389(TP-Link)和CVE-2024-36401(GeoServer)的适应能力,展示了其不断演变的能力。
Metabase:本地文件包含漏洞,可能导致信息泄露和潜在的远程代码执行。
Apache Web服务器:僵尸网络还利用影响Apache版本2.4.49和2.4.50的CVE-2021-41773来运行任意代码,并可能获取敏感数据或凭据。
IoT设备:通过集成Mozi僵尸网络的能力,Androxgh0st现在可以针对更广泛的IoT设备,包括路由器、安全摄像头和其他网络连接设备。
僵尸网络还针对Metabase、Sophos防火墙、Oracle E-Business Suite、OptiLink ONT1GEW GPON、PHP CGI、TP-Link Archer AX21、WordPress插件Background Image Cropper、Netgear DGN设备和GPON家庭路由器的漏洞。
这些漏洞都容易受到远程代码执行、信息泄露和利用的影响。
研究人员指出:“Androxgh0st积极部署暴力破解凭证填充、命令注入、文件包含和恶意软件传播。通过利用Mozi的IoT能力,Androxgh0st现在可以利用配置错误的路由器和设备,感染亚洲、欧洲及其他地方的设备。”
针对GPON路由器的Mozi僵尸网络
(来源CloudSEK)
以下是Androxgh0st僵尸网络的目标国家/地区的完整列表。此列表根据Androxgh0st针对的设备数量对国家/地区进行排名。排名靠前的德国感染设备最多,而排名垫底的新加坡感染设备最少:
德国
土耳其
美国
印度
香港特别行政区
罗马尼亚
葡萄牙
波兰
立陶宛
斯洛文尼亚
奥地利
大不列颠及北爱尔兰联合王国
韩国
泰国
加拿大
西班牙
卡塔尔
新加坡
E安全了解,Mozi僵尸网络主要针对Netgear、Dasan、D-Link路由器和 MVPower DVR Jaws服务器,在中国、印度和阿尔巴尼亚运行。
2021年,中国执法部门逮捕了其创建者,迫使他们合作并分发了一个更新程序,该更新程序在2023年有效地终止了僵尸网络与外界的连接能力。
Androxgh0st和Mozi之间的共享命令基础设施表明了高水平的操作集成,可能由同一网络犯罪集团控制。这种集成将影响全球的Web应用程序和IoT设备。
组织应立即修补Androxgh0st利用的漏洞,监控网络流量中的可疑连接和登录尝试,并分析HTTP和Web服务器日志以查找泄露迹象。
美国联合声明,警告俄罗斯和伊朗在最后时刻干预选举
2024.11.7
尼日利亚男子被判处26年,涉房地产网络钓鱼诈骗数百万美元
2024.11.6
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
2024.11.8
注:本文由E安全编译报道,转载请联系授权并注明来源。