Sommario
CloudSEK ha rilevato una significativa evoluzione nel panorama delle minacce digitali con l’apparizione di Androxgh0st, una botnet che combina tattiche avanzate con exploit preesistenti del celebre Mozi. Attivo dal gennaio 2024, Androxgh0st sfrutta vulnerabilità multiple per attaccare server web e dispositivi IoT, integrando payload di Mozi per una propagazione ancora più vasta e mirata.
La nuova vita del botnet: da Mozi a Androxgh0st
Mozi, una botnet nota per aver colpito router Netgear, D-Link e DVR MVPower, era stato temporaneamente neutralizzato nel 2021 a seguito di arresti effettuati dalle autorità cinesi. Tuttavia, la sua infrastruttura è stata recentemente riutilizzata da Androxgh0st, che ha ampliato il proprio raggio d’azione sfruttando vulnerabilità in tecnologie critiche come Cisco ASA, Atlassian JIRA e framework PHP.
Con oltre 20 vulnerabilità attivamente sfruttate, tra cui problemi noti come CVE-2017-9841 (PHP), CVE-2018-15133 (Laravel) e CVE-2021-41773 (Apache), il botnet si distingue per la capacità di mantenere backdoor persistenti e sfruttare credenziali rubate.
Le vulnerabilità sfruttate
Androxgh0st si concentra su exploit di alto profilo che coinvolgono prodotti di largo utilizzo. Alcuni esempi includono:
- Apache Web Server (CVE-2021-41773): vulnerabilità di path traversal che consente l’accesso a file sensibili.
- Atlassian JIRA (CVE-2021-26086): possibilità di leggere file attraverso il traversal.
- Router GPON (CVE-2018-10561): bypass dell’autenticazione e esecuzione di comandi remoti.
Convergenza tra Androxgh0st e Mozi
Androxgh0st non si limita a riprendere le tattiche di Mozi, ma ne integra funzionalità specifiche, come la propagazione nei dispositivi IoT e l’uso di payload condivisi. Questo suggerisce un controllo operativo unificato tra i due botnet, con l’obiettivo di aumentare l’efficacia degli attacchi e colpire bersagli più ampi.
Implicazioni per la sicurezza globale
L’ascesa di Androxgh0st, analizzata da ClouSek, rappresenta una minaccia significativa per le infrastrutture digitali globali. Organizzazioni e utenti devono monitorare i segni di compromissione e adottare contromisure proattive, come aggiornamenti di sicurezza regolari e analisi delle configurazioni di rete.
