ادغام AndroxGh0st با بات نت Mozi برای نفوذ به سرویس‌های ابری و IoT!

بدافزار AndroxGh0st، یک ابزار حمله ابری مبتنی بر پایتون می‌باشد که به دلیل نفوذ به اپلیکیشن‌های لاراول (Laravel ) با هدف دستیابی به داده‌های حساس سرویس‌هایی مانند وب آمازون AWS)، SendGrid و Twilio) شناخته شده است.

AndroxGh0st در حملاتی استفاده می‌شود که از مجموعه بزرگ‌تری از نقص‌های امنیتی استفاده می‌کنند که تنها بر اپلیکیشن‌های متصل به اینترنت تأثیر می‌گذارند.

تهدید کننده‌هایی که در پشت بدافزار AndroxGh0st قرار دارند اکنون با استفاده از بات‌ نت Mozi، از مجموعه گسترده‌تری از نقص‌های امنیتی که بر برنامه‌های مختلف اینترنتی تأثیر می‌گذارند، سوء استفاده می‌کنند.

بات ‌نت Mozi از روش‌های اجرای کد از راه دور و سرقت داده‌های لاگین برای سوء استفاده از آسیب ‌پذیری‌های پچ نشده به منظور نفوذ به زیرساخت‌های حیاتی و حفظ دسترسی دائمی در آنها استفاده می‌کند.

Androxgh0st از ژانویه 2024، پیلودها و تاکتیک‌های Mozi را پذیرفته و به آن اجازه می‌دهد تا سیستم‌هایی مانند Cisco ASA، Atlassian JIRA و فریمورک‌های PHP را مورد هدف قرار دهد.

AndroxGh0st که از سال 2022 فعال می‌باشد، از آسیب پذیری‌هایی در وب سرور آپاچی (CVE-2021-41773)، فریمورک لاراول (CVE-2018-15133) و PHPUnit (CVE-2017-9841) برای ایجاد دسترسی‌های اولیه و کنترل دائمی بر روی آنها استفاده کرده است.

آژانس‌های اطلاعاتی و امنیت سایبری ایالات متحده اوایل ژانویه امسال فاش کردند که مهاجمان از بدافزار AndroxGh0st برای ایجاد یک بات نت به منظور شناسایی قربانی و بهره برداری در شبکه‌های هدف استفاده می کنند.

نتایج تجزیه و تحلیل‌های CloudSEK حاکی از آن است که بدافزار اکنون از مجموعه آسیب پذیری‌های زیر برای حصول دسترسی اولیه استفاده می کند:

• CVE-2014-2120 (امتیاز CVSS: 4.3) – آسیب پذیری XSS صفحه ورود به سیستم Cisco ASA WebVPN
• CVE-2018-10561 (امتیاز CVSS: 9.8) – آسیب ‌پذیری دور زدن مکانیزم احراز هویت Dasan GPON
• CVE-2018-10562 (امتیاز CVSS: 9.8) – آسیب پذیری تزریق فرمان Dasan GPON
• CVE-2021-26086 (امتیاز CVSS: 5.3) – آسیب پذیری پیمایش مسیر Atlassian Jira
• CVE-2021-41277 (امتیاز CVSS: 7.5) – آسیب پذیری گنجاندن فایل لوکال نقشه Metabase GeoJSON
• CVE-2022-1040 (امتیاز CVSS: 9.8) – آسیب پذیری دور زدن احراز هویت فایروال Sophos
• CVE-2022-21587 (امتیاز CVSS: 9.8) – آسیب پذیری بارگذاری فایل دلخواه حراز هویت نشده E-Business Suite (EBS) اوراکل
• CVE-2023-1389 (امتیاز CVSS: 8.8) – آسیب پذیری تزریق فرمان فریمور TP-Link Archer AX21
• CVE-2024-4577 (امتیاز CVSS: 9.8) – آسیب پذیری تزریق آرگومان PHP CGI
• CVE-2024-36401 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور GeoServer

بات ‌نت، URL هدف را به /wp-admin/، داشبورد مدیریتی سایت‌های وردپرس هدایت می‌کند. چنانچه احراز هویت موفقیت آمیز باشد، هکر به کنترل ها و تنظیمات وب سایت دسترسی پیدا می‌کند.

همچنین مشاهده شده است که این حملات با استفاده از نقص‌های اجرای دستورات تأیید نشده در دستگاه‌های Netgear DGN و روترهای خانگی Dasan GPON برای استقرار پیلودی به نام «Mozi.m» از سرورهای خارجی مختلف («200.124.241[.]140» و «117.215.206[ .]216″) انجام شده است.

Mozi یکی از بات ‌نت‌های معروفی است که سابقه حمله و نفوذ به دستگاه‌های IoT را دارد تا آنها را در یک شبکه مخرب برای انجام حملات انکار سرویس توزیع شده (DDoS) قرار دهد.

در حالی که نویسندگان بدافزار توسط مقامات مجری قانون چین در سپتامبر 2021 دستگیر شده‌اند، کاهش شدیدی در فعالیت Mozi مشاهده نشد تا آن که در آگوست 2023، افرادی ناشناس دستور kill switch را برای خاتمه دادن به بدافزار صادر کردند. گمان می رود که سازندگان بات نت یا مقامات چینی به یک روز رسانی را برای از بین بردن این بات نت توزیع کرده باشند.

ادغام Mozi توسط AndroxGh0st، امکان انجام یک عملیات یکپارچه را افزایش داده است و در نتیجه به آن اجازه می‌دهد تا به دستگاه‌های بیشتری نسبت به قبل نفوذ کند.

به گفته CloudSEK، بدافزار AndroxGh0st نه تنها با بات نت Mozi همکاری دارد، بلکه قابلیت‌های خاص Mozi (به عنوان مثال، مکانیزم‌های نفوذ و انتشار به دستگاه‌های اینترنت اشیا) را در مجموعه عملیات استاندارد خود گنجانده است.

این بدان معناست که AndroxGh0st برای استفاده از قدرت انتشار Mozi به منظور آلوده کردن دستگاه‌های IoT بیشتر با استفاده از پیلودهای Mozi توسعه یافته است.

چنانچه هر دو بات نت از زیرساخت فرماندهی و کنترل یکسانی استفاده کنند، به سطح بالایی از یکپارچگی عملیاتی خواهند رسید و این احتمالاً به آن معناست که AndroxGh0st و Mozi هر دو تحت کنترل یک گروه سایبری قرار دارند.

این زیرساخت مشترک، کنترل را بر طیف وسیع تری از دستگاه ها اعمال می‌کند.از این رو، هم اثربخشی و هم کارایی عملیات بات نت ترکیبی آنها افزایش می‌یابد.

اصلاحات و تدابیر پیشنهادی:

پچ فوری آسیب ‌پذیری‌های مذکور و به کارگیری نکات و تدابیر زیر برای کاهش خطرات مرتبط با بات‌ نت Mozi و Androxgh0st توصیه می‌شود:

لاگ HTTP و وب سرور را بررسی کنید:

• درخواست‌های مشکوک را بررسی کنید: به دنبال درخواست‌های HTTP GET یا POST باشید که شامل دستورات غیرعادی یا مشکوک مانند wget، curl یا پارامترهای تزریق فرمان مانند cmd=rm یا cmd=wget هستند. اینها نشانه‌های رایج تلاش برای تزریق فرمان توسط Androxgh0st می‌باشند.
• تلاش‌های غیرمعمول ورود به سیستم را بررسی کنید: به ‌دنبال تلاش‌های ناموفق مکرر برای ورود به سیستم باشید، که نشان‌ دهنده حملات بروت فورس در صفحات لاگین مانند /wp-login.php، /admin_login، یا /cgi-bin/login.cgi است. اینها ممکن است داده‌های لاگین پیش فرض یا رمزهای عبور ضعیف را هدف قرار دهند.

نظارت بر فرآیندهای سیستمی برای شناسایی فعالیت‌های غیرمنتظره و مشکوک:

• شناسایی فرآیندهای مشکوک: از دستوراتی مانند ps aux یا top برای جستجوی فرآیندهای غیرمنتظره‌ای که از مکان‌های غیرمعمول اجرا می‌شوند (به عنوان مثال /tmp، /var/tmp یا /dev/shm) استفاده کنید، که نمونه‌ای از پیلودهای بات نت است.
• ورودی‌های Crontab و اسکریپت‌های startup را بازرسی کنید: Androxgh0st اغلب با تغییر فایل‌های crontab یا اسکریپت‌های startup تلاش می‌کند تداوم دسترسی ایجاد کند. از دستور crontab -l برای بررسی هرگونه ورودی مشکوک استفاده کنید.

فایل‌های مشکوک را در دایرکتوری‌های موقت بررسی کنید:

• دایرکتوری‌های /tmp، /var/tmp و /dev/shm را بررسی کنید: پیلودها و اسکریپت‌های Androxgh0st اغلب از این دایرکتوری‌ها دانلود و اجرا می‌شوند. به دنبال فایل‌هایی با نام‌های غیرمعمول یا تغییرات اخیر در این مکان‌ها باشید: ls -la /tmp

• ls -la /var/tmp

• بررسی مجوزهای فایل و فایل‌های اجرایی: فایل‌های موجود در این دایرکتوری‌ها معمولاً نباید قابل اجرا باشند. از دستور find برای مکان یابی فایل‌های اجرایی در این دایرکتوری‌ها استفاده کنید: find /tmp -type f -perm /111

اتصالات شبکه و ترافیک را تجزیه و تحلیل کنید:

• نظارت بر اتصالات خروجی به IP یا دامنه‌های مخرب شناخته شده: Androxgh0st ممکن است با سرور فرماندهی و کنترل (C2) خود ارتباط برقرار کند. از ابزارهایی مانند netstat یا ss برای شناسایی اتصالات فعال شبکه استفاده کنید: netstat -antp | grep ESTABLISHED
• به دنبال اتصالات خروجی غیرمتداول در پورت‌های غیر معمول (مانند پورت‌هایی با شماره بالا) یا IPهای خارجی که نمی شناسید باشید.
• الگوهای ترافیک بیش از حد یا غیرمعمول را بررسی کنید: دستگاه‌های آلوده به Androxgh0st ممکن است ترافیک غیرعادی از خود نشان دهند، به‌ویژه اگر در یک بات‌ نت شرکت کنند.

تنظیمات امنیتی را برای شناسایی تغییرات ایجاد شده بررسی کنید:

• بررسی تغییرات غیرمنتظره در فایروال و تنظیمات روتر: Androxgh0st ممکن است سعی کند پورت‌های اضافی باز کند و یا قوانین فایروال را تغییر دهد. قوانین فایروال و تنظیمات روتر را برای شناسایی تغییرات غیرمنتظره مورد بررسی قرار دهید.
• پیکربندی SSH را از نظر نقاط ضعف یا کلیدهای غیرمجاز بررسی کنید: اگر Androxgh0st از روت فورس SSH برای دسترسی استفاده کرده باشد، باید بررسی کنید که هیچ کلید SSH جدیدی به ~/.ssh/authorized_keys اضافه نشده باشد.

آسیب پذیری‌های شناخته شده را اسکن و پچ‌ها را اعمال کنید:

• سرویس‌ها و برنامه‌های آسیب پذیر را شناسایی کنید: Androxgh0st اغلب از آسیب پذیری‌های شناخته شده در وب سرورها، روترها و دستگاه‌های اینترنت اشیا سوء استفاده می‌کند. از اسکنرهای سطح حمله مداوم برای شناسایی هر گونه سرویس یا برنامه پچ نشده استفاده کنید.
• به‌روزرسانی منظم فریمور و نرم‌افزار: اطمینان حاصل کنید که همه دستگاه‌ها، به ‌ویژه دستگاه‌های IoT و روترها، آخرین نسخه‌های فریمور را اجرا می‌کنند، چرا که Androxgh0st ، غالبا CVE‌های پچ ‌نشده را هدف قرار می‌دهد.

از ابزارهای EDR استفاده کنید:

• اجرای نرم‌افزار EDR: ابزارهای EDR می‌توانند به شناسایی رفتارهای غیرمعمول، فرآیندهای غیرمجاز و فایل‌های مشکوک کمک کنند که ممکن است نشان‌ دهنده نفوذ Androxgh0st باشد.
• انجام بررسی یکپارچگی فایل: از ابزارهایی استفاده کنید که می‌توانند تغییرات فایل‌های مهم سیستم، پیکربندی‌های startup و یا فایل‌های وب سرور را تشخیص دهند.

لاگ‌های مربوط به مکانیزم‌های تداوم دسترسی را بررسی کنید:

• به دنبال فایل‌های پیکربندی اصلاح ‌شده و تغییر یافته باشید: فایل‌های پیکربندی را برای هر فرمان تزریق شده (injected commands) که پس از راه‌اندازی مجدد دستگاه، بات‌نت را دوباره فعال می‌کند، بررسی کنید. این فایل‌ها شامل فایل‌هایی مانند /etc/rc.local، .bashrc یا هر اسکریپت startup سفارشی می‌شوند.
• لاگ‌های سیستم را برای یافتن الگوهای فعالیت مخرب بررسی کنید: به دنبال الگوهایی در لاگ‌های log، syslog یا برنامه‌ها باشید که ممکن است فعالیت Androxgh0st را نشان دهند، از جمله تلاش‌های غیرمنتظره برای ورود به سیستم با سطح دسترسیroot و یا دستورات اجرا شده توسط حساب‌های کاربر وب سرور.

منابع