Pelaku ancaman di balik malware AndroxGh0st kini mengeksploitasi serangkaian kelemahan keamanan yang lebih luas yang berdampak pada berbagai aplikasi yang terhubung ke internet, sekaligus menyebarkan malware botnet Mozi.
“Botnet ini menggunakan eksekusi kode jarak jauh dan metode pencurian kredensial untuk mempertahankan akses yang persisten, memanfaatkan kerentanan yang belum ditambal untuk menyusup ke infrastruktur penting,” kata CloudSEK dalam laporan barunya.
AndroxGh0st adalah nama yang diberikan untuk alat serangan cloud berbasis Python yang dikenal karena menargetkan aplikasi Laravel dengan tujuan data sensitif yang berkaitan dengan layanan seperti Amazon Web Services (AWS), SendGrid, dan Twilio.
Aktif setidaknya sejak tahun 2022, sebelumnya telah memanfaatkan kelemahan di server web Apache (CVE-2021-41773), Laravel Framework (CVE-2018-15133), dan PHPUnit (CVE-2017-9841) untuk mendapatkan akses awal, meningkatkan hak istimewa , dan membangun kontrol yang gigih atas sistem yang disusupi.
Awal bulan Maret ini, badan keamanan siber dan intelijen AS mengungkapkan bahwa penyerang menyebarkan malware AndroxGh0st untuk membuat botnet untuk “mengidentifikasi dan mengeksploitasi korban di jaringan target.”
Analisis terbaru dari CloudSEK mengungkapkan perluasan strategis dari fokus penargetan, dengan malware kini mengeksploitasi serangkaian kerentanan untuk akses awal –
- CVE-2014-2120 (skor CVSS: 4.3) – Kerentanan XSS halaman login Cisco ASA WebVPN
- CVE-2018-10561 (skor CVSS: 9.8) – Kerentanan bypass otentikasi GPON Dasan
- CVE-2018-10562 (skor CVSS: 9.8) – Kerentanan injeksi perintah Dasan GPON
- CVE-2021-26086 (skor CVSS: 5.3) – Kerentanan penjelajahan jalur Atlassian Jira
- CVE-2021-41277 (skor CVSS: 7.5) – Metabase GeoJSON memetakan kerentanan penyertaan file lokal
- CVE-2022-1040 (skor CVSS: 9.8) – kerentanan bypass autentikasi Sophos Firewall
- CVE-2022-21587 (skor CVSS: 9.8) – Oracle E-Business Suite (EBS) Kerentanan pengunggahan file sewenang-wenang yang tidak diautentikasi
- CVE-2023-1389 (skor CVSS: 8.8) – Kerentanan injeksi perintah firmware TP-Link Archer AX21
- CVE-2024-4577 (skor CVSS: 9.8) – Kerentanan injeksi argumen PHP CGI
- CVE-2024-36401 (skor CVSS: 9.8) – Kerentanan eksekusi kode jarak jauh GeoServer
“Botnet berputar melalui nama pengguna administratif umum dan menggunakan pola kata sandi yang konsisten,” kata perusahaan itu. “URL target dialihkan ke /wp-admin/, yang merupakan dasbor administrasi backend untuk situs WordPress. Jika autentikasi berhasil, ia memperoleh akses ke kontrol dan pengaturan situs web penting.”
Serangan tersebut juga terlihat memanfaatkan kelemahan eksekusi perintah yang tidak diautentikasi pada perangkat Netgear DGN dan router rumah Dasan GPON untuk menjatuhkan muatan bernama “Mozi.m” dari server eksternal yang berbeda (“200.124.241[.]140” dan “117.215.206[.]216”).
Mozi adalah botnet terkenal lainnya yang memiliki rekam jejak menyerang perangkat IoT untuk mengkooptasinya ke dalam jaringan berbahaya untuk melakukan serangan penolakan layanan terdistribusi (DDoS).
Meskipun pembuat malware ditangkap oleh aparat penegak hukum Tiongkok pada bulan September 2021, penurunan tajam dalam aktivitas Mozi baru terlihat pada bulan Agustus 2023, ketika pihak tak dikenal mengeluarkan perintah tombol pemutus untuk menghentikan malware tersebut. Diduga pembuat botnet atau otoritas Tiongkok mendistribusikan pembaruan untuk membongkarnya.
Integrasi AndroxGh0st pada Mozi telah meningkatkan kemungkinan kemungkinan aliansi operasional, sehingga memungkinkannya untuk menyebar ke lebih banyak perangkat daripada sebelumnya.
“AndroxGh0st tidak hanya berkolaborasi dengan Mozi tetapi juga menanamkan fungsi spesifik Mozi (misalnya, mekanisme infeksi dan penyebaran IoT) ke dalam rangkaian operasi standarnya,” kata CloudSEK.
“Ini berarti bahwa AndroxGh0st telah berkembang untuk memanfaatkan kekuatan propagasi Mozi untuk menginfeksi lebih banyak perangkat IoT, menggunakan muatan Mozi untuk mencapai tujuan yang memerlukan rutinitas infeksi terpisah.”
“Jika kedua botnet menggunakan infrastruktur perintah yang sama, hal ini menunjukkan adanya integrasi operasional tingkat tinggi, yang mungkin menyiratkan bahwa AndroxGh0st dan Mozi berada di bawah kendali kelompok penjahat dunia maya yang sama. Infrastruktur bersama ini akan menyederhanakan kontrol atas perangkat yang lebih luas. , meningkatkan efektivitas dan efisiensi operasi botnet gabungan mereka.”