Botnet Androxgh0st značajno je proširio svoje operacije od 2023. godine, a sajber kriminalci sada kompromituju prestižne akademske institucije kako bi hostovali svoju komandnu i kontrolnu infrastrukturu.
Ova sofisticirana kampanja malvera pokazala je izuzetnu upornost i evoluciju, ciljajući raznolik spektar ranjivosti na veb aplikacijama, frameworkima i uređajima Internet of Things (IoT) kako bi uspostavili širok mrežni pristup.
Operatori botneta pokazali su posebnu dovitljivost u odabiru infrastrukture za hosting, preferirajući da ugrade svoje zlonamerne operacije unutar legitimnih, pouzdanih domena.
Ovaj strateški pristup ne samo da pruža operativni zaklon, već takođe eksploatiše inherentno povjerenje povezano sa obrazovnim i institucionalnim veb-sajtovima.
Izbor da se ciljaju akademske institucije odražava proračunatu odluku da se iskoriste domeni koji obično dobijaju manje nadzora od sistema za bezbednosno praćenje i održavaju visoke rejtinge ugleda kod prodavaca bezbednosnih rešenja.
Analitičari iz CloudSEK-a su identifikovali da su operateri Androxgh0st-a uspješno kompromitovali poddomen Univerziteta Kalifornije u San Dijegu, specifično “api.usarhythms.ucsd.edu”, kako bi hostovali svoj komandni i kontrolni logger.
Ovaj konkretni poddomen čini se da je povezan sa portalom USA Basketball Men’s U19 National Team, demonstrirajući kako napadači eksploatišu legitimne, ali potencijalno nedovoljno nadgledane institucionalne veb resurse.
Ovaj upad predstavlja značajnu eskalaciju sofisticiranosti botneta i njegovih bezbednosnih operativnih mjera. Metodologija napada malvera obuhvata eksploataciju preko dvadeset različitih ranjivosti, što predstavlja pedesetoprocentno povećanje vektora početnog pristupa u poređenju sa prethodnim kampanjama.
Ove ranjivosti obuhvataju više tehnoloških stekova, uključujući Spring4Shell ranjivosti izvršavanja udaljenog koda u Apache Shiro JNDI injekciji, slabosti WordPress pluginova i ranjivosti injekcije komandi u IoT uređajima. Raznolikost vektora napada osigurava široku pokrivenost ciljeva i maksimizira vjerovatnoću uspješnog kompromisa sistema u različitim organizacionim okruženjima.
Operatori Androxgh0st-a koriste sofisticirani arsenal od četiri različita webshell-a dizajnirana za trajni pristup i dalje eksploatacije kompromitovanih sistema. Primarni webshell, “abuok.php”, koristi heksadecimalno kodiranje u kombinaciji sa PHP-ovom `eval` funkcijom za izvršavanje obavijenih payload-ova. Zlonamerni kod koristi `eval(hex2bin())` za dekodiranje i izvršavanje ugrađenih komandi, dok omotava payload u naizgled neškodljive tekstualne stringove kako bi izbjegao osnovne mehanizme detekcije.
Variant “myabu.php” demonstrira dodatne tehnike izbjegavanja putem ROT13 kodiranja, gdje `str_rot13(“riny”)` proizvodi “eval” za izvršavanje proizvoljnog koda dostavljenog putem POST zahtjeva. Ovaj metod kodiranja pruža jednostavan, ali efikasan sloj obavijanja koji zaobilazi sisteme za detekciju zasnovane na potpisima, dok istovremeno zadržava potpune mogućnosti izvršavanja udaljenog koda.
Ovi webshell-ovi kolektivno omogućavaju funkcionalnost učitavanja datoteka, mogućnosti ubacivanja koda i trajni pristup stražnjim vratima, osiguravajući da čak i ako su primarni vektori infekcije zakrpljeni, napadači zadrže više puteva za kontinuirani pristup sistemu i eksploataciju.
