Как Androxgh0st восстал из пепла Mozi и стал «самым распространённым вредоносным ПО»

Важные новости

Как Androxgh0st восстал из пепла Mozi и стал «самым распространенным вредоносным ПО»

После того, как в прошлом году ботнет Mozi загадочно исчез, из него восстал новый и, по-видимому, более мощный ботнет Androxgh0st, который быстро стал серьезной угрозой для критической инфраструктуры.

По состоянию на декабрь по крайней мере один из отделов безопасности подозревает, что новый гибридный ботнет используется в качестве оружия китайским правительством.

«На основании имеющейся информации мы можем с низкой степенью уверенности утверждать, что ботнет Androxgh0st эксплуатируется китайскими злоумышленниками, движимыми интересами, схожими с интересами китайского государства», — сказал исследователь CloudSEK Кошик Пал The Register.

Check Point, тем временем, оценила Androxgh0st как наиболее распространенное вредоносное ПО в мире и сообщила, что в ноябре оно затронуло 5 процентов организаций по всему миру.

Дополнительные возможности Mozi позволяют Androxgh0st контролировать гораздо более широкий круг целей, чем в начале года, и «эти атаки создают каскадные эффекты во всех отраслях, подчеркивая высокие ставки для правительств, предприятий и частных лиц, зависящих от этих инфраструктур», согласно отчету Check Point о наиболее разыскиваемых вредоносных программах.

Ботнеты, любимые атакующими, поддерживаемыми Пекином, особенно коварны, и способность этого нацеливаться как на веб-серверы, так и на устройства IoT расширяет его охват. После эксплуатации уязвимости для развертывания полезной нагрузки на устройстве жертвы это устройство становится частью ботнета, который затем может использоваться для взлома других критически важных сетей, выполнения крупномасштабных DDoS-атак и проведения операций по массовому наблюдению и краже данных.

Вредоносное ПО нацелено на системы Windows, Mac и Linux и не показывает никаких признаков замедления в 2025 году.

«Интеграция возможностей Mozi в Androxgh0st означает, что мы увидим всплеск массовых эксплойтов», — сказал Пал. «Мы можем ожидать, что к середине 2025 года Androxgh0st будет эксплуатировать как минимум на 75–100 процентов больше уязвимостей веб-приложений, чем сейчас».

От аварийного отключения до двойной угрозы

CloudSEK была одной из первых групп по поиску угроз, которая обнаружила интеграцию с Mozi, что стало неожиданностью для наблюдателей за информационной безопасностью после того, как кто-то — предположительно, либо сотрудники китайских правоохранительных органов, либо создатель ботнета — отключил Mozi в августе 2023 года.

В период своего расцвета Mozi, появившийся в 2019 году, отвечал за около 90 процентов вредоносного трафика сетей Интернета вещей во всем мире, ежегодно эксплуатируя уязвимости в сотнях тысяч подключенных устройств.

«Примерно в середине 2024 года мы начали замечать полезные нагрузки, которые были частью цепочки эксплуатации Androxgh0st с полезными нагрузками Mozi, нацеленными на маршрутизаторы TP-Link», — сказал Пал. «Забавная история, злоумышленники в нескольких случаях переименовывали полезную нагрузку в „tplink0day“, но наше расследование показало, что под обертками скрывался эксплойт прошивки десятилетней давности».

К ноябрю Androxgh0st использовал уязвимости в десятках технологий, включая VPN, брандмауэры, маршрутизаторы и веб-приложения, чтобы заразить сотни тысяч платформ. К ним относятся Cisco ASA, Atlassian JIRA, межсетевые экраны Sophos, шлюзы Spring Cloud, фреймворки PHP, а также несколько устройств IoT.

«Mozi делает свой ботнет намного, намного больше», — рассказал Сергей Шикевич, менеджер группы по анализу угроз в Check Point, The Register.

«Это позволяет им не только атаковать определенные серверы и извлекать определенные файлы, но теперь у них есть возможность атаковать любой маршрутизатор, камеру и все подобные устройства, которые крайне незащищены. Устройства IoT — одна из самых простых вещей для атаки», — отметил он.

Дядя Сэм бьет тревогу по Androxgh0st

ФБР и CISA впервые забили тревогу по Androxgh0st в январе. В то время федералы заявили, что ботнет, ворующий учетные данные в облаке, в основном использовал три старых и давно исправленных CVE для получения первоначального доступа.

«Изначально у Androxgh0st был очень специфический навык», — сказал Шикевич. «Он нацелился на веб-серверы и пытался извлечь файлы конфиденциальных данных».

В частности, вредоносное ПО, написанное на Python, сканировало файлы [.]env, содержащие учетные данные пользователей для AWS, Microsoft Office 365, SendGrid и Twilio. Помимо сканирования и сбора учетных данных, оно также могло развертывать веб-оболочки на скомпрометированных серверах.

«Это был один из векторов атаки, и он был очень полезен. Он позволял операторам получать учетные данные для различных ресурсов», — сказал Шикевич.

К августу CloudSEK начал замечать, что операторы вредоносного ПО также развертывают ориентированные на IoT полезные нагрузки Mozi, и с тех пор показатели заражения возросли. «Это почти 30-70 разделение между устройствами IoT и веб-приложениями», — сказал Пал по состоянию на начало декабря.

В период с января по август количество CVE, эксплуатируемых Androxgh0st, резко возросло.

«Мы увидели резкий рост — примерно на 100 процентов — количества уязвимостей, эксплуатируемых Androxgh0st, что указывает на то, что группа угроз больше сосредоточена на использовании некоторых новых эксплойтов в качестве оружия», — сказал он.

Первоначально служба безопасности сообщила о результатах проверки Androxgh0st в ноябре, задокументировав 11 уязвимостей, которые преступники использовали для получения первоначального доступа. В декабрьском обновлении исследования CloudSEK отметил 27.

С момента публикации своего первоначального отчета о гибридном ботнете охотники за угрозами также задокументировали рост использования Androxgh0st для атаки на технологии, которая в основном используется в Китае.

«Мы заметили, что злоумышленники, управляющие ботнетом, нацелились на больницу из Гонконга в июле 2023 года, что совпадает с виктимологией китайских APT-групп, таких как APT41 и Tonto Team», — говорится в отчете, который связывает рост атак Androxgh0st с усилением усилий по массовому наблюдению со стороны китайского правительства.

«Как мы увидели из утечек i-soon, рынок APT завален множеством различных частных компаний, которые могут предоставлять государству «услуги по тестированию на проникновение и Red-Teaming» в своих интересах», — сказал Пал. «Мы наблюдаем тенденцию, когда злоумышленники регулярно обновляют свой арсенал новейшими эксплойтами, которые можно легко использовать». ®

Новости сегодня

Последние новости