بدافزار AndroxGh0st، یک ابزار حمله ابری مبتنی بر پایتون میباشد که به دلیل نفوذ به اپلیکیشنهای لاراول (Laravel ) با هدف دستیابی به دادههای حساس سرویسهایی مانند وب آمازون AWS)، SendGrid و Twilio) شناخته شده است.
AndroxGh0st در حملاتی استفاده میشود که از مجموعه بزرگتری از نقصهای امنیتی استفاده میکنند که تنها بر اپلیکیشنهای متصل به اینترنت تأثیر میگذارند.
تهدید کنندههایی که در پشت بدافزار AndroxGh0st قرار دارند اکنون با استفاده از بات نت Mozi، از مجموعه گستردهتری از نقصهای امنیتی که بر برنامههای مختلف اینترنتی تأثیر میگذارند، سوء استفاده میکنند.
بات نت Mozi از روشهای اجرای کد از راه دور و سرقت دادههای لاگین برای سوء استفاده از آسیب پذیریهای پچ نشده به منظور نفوذ به زیرساختهای حیاتی و حفظ دسترسی دائمی در آنها استفاده میکند.
Androxgh0st از ژانویه 2024، پیلودها و تاکتیکهای Mozi را پذیرفته و به آن اجازه میدهد تا سیستمهایی مانند Cisco ASA، Atlassian JIRA و فریمورکهای PHP را مورد هدف قرار دهد.
AndroxGh0st که از سال 2022 فعال میباشد، از آسیب پذیریهایی در وب سرور آپاچی (CVE-2021-41773)، فریمورک لاراول (CVE-2018-15133) و PHPUnit (CVE-2017-9841) برای ایجاد دسترسیهای اولیه و کنترل دائمی بر روی آنها استفاده کرده است.
آژانسهای اطلاعاتی و امنیت سایبری ایالات متحده اوایل ژانویه امسال فاش کردند که مهاجمان از بدافزار AndroxGh0st برای ایجاد یک بات نت به منظور شناسایی قربانی و بهره برداری در شبکههای هدف استفاده می کنند.
نتایج تجزیه و تحلیلهای CloudSEK حاکی از آن است که بدافزار اکنون از مجموعه آسیب پذیریهای زیر برای حصول دسترسی اولیه استفاده می کند:
- CVE-2014-2120 (امتیاز CVSS: 4.3) – آسیب پذیری XSS صفحه ورود به سیستم Cisco ASA WebVPN
- CVE-2018-10561 (امتیاز CVSS: 9.8) – آسیب پذیری دور زدن مکانیزم احراز هویت Dasan GPON
- CVE-2018-10562 (امتیاز CVSS: 9.8) – آسیب پذیری تزریق فرمان Dasan GPON
- CVE-2021-26086 (امتیاز CVSS: 5.3) – آسیب پذیری پیمایش مسیر Atlassian Jira
- CVE-2021-41277 (امتیاز CVSS: 7.5) – آسیب پذیری گنجاندن فایل لوکال نقشه Metabase GeoJSON
- CVE-2022-1040 (امتیاز CVSS: 9.8) – آسیب پذیری دور زدن احراز هویت فایروال Sophos
- CVE-2022-21587 (امتیاز CVSS: 9.8) – آسیب پذیری بارگذاری فایل دلخواه حراز هویت نشده E-Business Suite (EBS) اوراکل
- CVE-2023-1389 (امتیاز CVSS: 8.8) – آسیب پذیری تزریق فرمان فریمور TP-Link Archer AX21
- CVE-2024-4577 (امتیاز CVSS: 9.8) – آسیب پذیری تزریق آرگومان PHP CGI
- CVE-2024-36401 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور GeoServer
بات نت، URL هدف را به /wp-admin/، داشبورد مدیریتی سایتهای وردپرس هدایت میکند. چنانچه احراز هویت موفقیت آمیز باشد، هکر به کنترل ها و تنظیمات وب سایت دسترسی پیدا میکند.
همچنین مشاهده شده است که این حملات با استفاده از نقصهای اجرای دستورات تأیید نشده در دستگاههای Netgear DGN و روترهای خانگی Dasan GPON برای استقرار پیلودی به نام «Mozi.m» از سرورهای خارجی مختلف («200.124.241[.]140» و «117.215.206[ .]216″) انجام شده است.
Mozi یکی از بات نتهای معروفی است که سابقه حمله و نفوذ به دستگاههای IoT را دارد تا آنها را در یک شبکه مخرب برای انجام حملات انکار سرویس توزیع شده (DDoS) قرار دهد.
در حالی که نویسندگان بدافزار توسط مقامات مجری قانون چین در سپتامبر 2021 دستگیر شدهاند، کاهش شدیدی در فعالیت Mozi مشاهده نشد تا آن که در آگوست 2023، افرادی ناشناس دستور kill switch را برای خاتمه دادن به بدافزار صادر کردند. گمان می رود که سازندگان بات نت یا مقامات چینی به یک روز رسانی را برای از بین بردن این بات نت توزیع کرده باشند.
ادغام Mozi توسط AndroxGh0st، امکان انجام یک عملیات یکپارچه را افزایش داده است و در نتیجه به آن اجازه میدهد تا به دستگاههای بیشتری نسبت به قبل نفوذ کند.
به گفته CloudSEK، بدافزار AndroxGh0st نه تنها با بات نت Mozi همکاری دارد، بلکه قابلیتهای خاص Mozi (به عنوان مثال، مکانیزمهای نفوذ و انتشار به دستگاههای اینترنت اشیا) را در مجموعه عملیات استاندارد خود گنجانده است.
این بدان معناست که AndroxGh0st برای استفاده از قدرت انتشار Mozi به منظور آلوده کردن دستگاههای IoT بیشتر با استفاده از پیلودهای Mozi توسعه یافته است.
چنانچه هر دو بات نت از زیرساخت فرماندهی و کنترل یکسانی استفاده کنند، به سطح بالایی از یکپارچگی عملیاتی خواهند رسید و این احتمالاً به آن معناست که AndroxGh0st و Mozi هر دو تحت کنترل یک گروه سایبری قرار دارند.
این زیرساخت مشترک، کنترل را بر طیف وسیع تری از دستگاه ها اعمال میکند.از این رو، هم اثربخشی و هم کارایی عملیات بات نت ترکیبی آنها افزایش مییابد.
اصلاحات و تدابیر پیشنهادی:
پچ فوری آسیب پذیریهای مذکور و به کارگیری نکات و تدابیر زیر برای کاهش خطرات مرتبط با بات نت Mozi و Androxgh0st توصیه میشود:
لاگ HTTP و وب سرور را بررسی کنید:
- درخواستهای مشکوک را بررسی کنید: به دنبال درخواستهای HTTP GET یا POST باشید که شامل دستورات غیرعادی یا مشکوک مانند wget، curl یا پارامترهای تزریق فرمان مانند cmd=rm یا cmd=wget هستند. اینها نشانههای رایج تلاش برای تزریق فرمان توسط Androxgh0st میباشند.
- تلاشهای غیرمعمول ورود به سیستم را بررسی کنید: به دنبال تلاشهای ناموفق مکرر برای ورود به سیستم باشید، که نشان دهنده حملات بروت فورس در صفحات لاگین مانند /wp-login.php، /admin_login، یا /cgi-bin/login.cgi است. اینها ممکن است دادههای لاگین پیش فرض یا رمزهای عبور ضعیف را هدف قرار دهند.
نظارت بر فرآیندهای سیستمی برای شناسایی فعالیتهای غیرمنتظره و مشکوک:
- شناسایی فرآیندهای مشکوک: از دستوراتی مانند ps aux یا top برای جستجوی فرآیندهای غیرمنتظرهای که از مکانهای غیرمعمول اجرا میشوند (به عنوان مثال /tmp، /var/tmp یا /dev/shm) استفاده کنید، که نمونهای از پیلودهای بات نت است.
- ورودیهای Crontab و اسکریپتهای startup را بازرسی کنید: Androxgh0st اغلب با تغییر فایلهای crontab یا اسکریپتهای startup تلاش میکند تداوم دسترسی ایجاد کند. از دستور crontab -l برای بررسی هرگونه ورودی مشکوک استفاده کنید.
فایلهای مشکوک را در دایرکتوریهای موقت بررسی کنید:
- دایرکتوریهای /tmp، /var/tmp و /dev/shm را بررسی کنید: پیلودها و اسکریپتهای Androxgh0st اغلب از این دایرکتوریها دانلود و اجرا میشوند. به دنبال فایلهایی با نامهای غیرمعمول یا تغییرات اخیر در این مکانها باشید: ls -la /tmp
- ls -la /var/tmp
- بررسی مجوزهای فایل و فایلهای اجرایی: فایلهای موجود در این دایرکتوریها معمولاً نباید قابل اجرا باشند. از دستور find برای مکان یابی فایلهای اجرایی در این دایرکتوریها استفاده کنید: find /tmp -type f -perm /111
اتصالات شبکه و ترافیک را تجزیه و تحلیل کنید:
- نظارت بر اتصالات خروجی به IP یا دامنههای مخرب شناخته شده: Androxgh0st ممکن است با سرور فرماندهی و کنترل (C2) خود ارتباط برقرار کند. از ابزارهایی مانند netstat یا ss برای شناسایی اتصالات فعال شبکه استفاده کنید: netstat -antp | grep ESTABLISHED
- به دنبال اتصالات خروجی غیرمتداول در پورتهای غیر معمول (مانند پورتهایی با شماره بالا) یا IPهای خارجی که نمی شناسید باشید.
- الگوهای ترافیک بیش از حد یا غیرمعمول را بررسی کنید: دستگاههای آلوده به Androxgh0st ممکن است ترافیک غیرعادی از خود نشان دهند، بهویژه اگر در یک بات نت شرکت کنند.
تنظیمات امنیتی را برای شناسایی تغییرات ایجاد شده بررسی کنید:
- بررسی تغییرات غیرمنتظره در فایروال و تنظیمات روتر: Androxgh0st ممکن است سعی کند پورتهای اضافی باز کند و یا قوانین فایروال را تغییر دهد. قوانین فایروال و تنظیمات روتر را برای شناسایی تغییرات غیرمنتظره مورد بررسی قرار دهید.
- پیکربندی SSH را از نظر نقاط ضعف یا کلیدهای غیرمجاز بررسی کنید: اگر Androxgh0st از روت فورس SSH برای دسترسی استفاده کرده باشد، باید بررسی کنید که هیچ کلید SSH جدیدی به ~/.ssh/authorized_keys اضافه نشده باشد.
آسیب پذیریهای شناخته شده را اسکن و پچها را اعمال کنید:
- سرویسها و برنامههای آسیب پذیر را شناسایی کنید: Androxgh0st اغلب از آسیب پذیریهای شناخته شده در وب سرورها، روترها و دستگاههای اینترنت اشیا سوء استفاده میکند. از اسکنرهای سطح حمله مداوم برای شناسایی هر گونه سرویس یا برنامه پچ نشده استفاده کنید.
- بهروزرسانی منظم فریمور و نرمافزار: اطمینان حاصل کنید که همه دستگاهها، به ویژه دستگاههای IoT و روترها، آخرین نسخههای فریمور را اجرا میکنند، چرا که Androxgh0st ، غالبا CVEهای پچ نشده را هدف قرار میدهد.
از ابزارهای EDR استفاده کنید:
- اجرای نرمافزار EDR: ابزارهای EDR میتوانند به شناسایی رفتارهای غیرمعمول، فرآیندهای غیرمجاز و فایلهای مشکوک کمک کنند که ممکن است نشان دهنده نفوذ Androxgh0st باشد.
- انجام بررسی یکپارچگی فایل: از ابزارهایی استفاده کنید که میتوانند تغییرات فایلهای مهم سیستم، پیکربندیهای startup و یا فایلهای وب سرور را تشخیص دهند.
لاگهای مربوط به مکانیزمهای تداوم دسترسی را بررسی کنید:
- به دنبال فایلهای پیکربندی اصلاح شده و تغییر یافته باشید: فایلهای پیکربندی را برای هر فرمان تزریق شده (injected commands) که پس از راهاندازی مجدد دستگاه، باتنت را دوباره فعال میکند، بررسی کنید. این فایلها شامل فایلهایی مانند /etc/rc.local، .bashrc یا هر اسکریپت startup سفارشی میشوند.
- لاگهای سیستم را برای یافتن الگوهای فعالیت مخرب بررسی کنید: به دنبال الگوهایی در لاگهای log، syslog یا برنامهها باشید که ممکن است فعالیت Androxgh0st را نشان دهند، از جمله تلاشهای غیرمنتظره برای ورود به سیستم با سطح دسترسیroot و یا دستورات اجرا شده توسط حسابهای کاربر وب سرور.