Androxgh0st Botnet ABD Üniversite Sunucularını Kullanarak Etki Alanını Genişletiyor

Yeni CloudSEK bulguları Androxgh0st botnet'inin evrimleştiğini gösteriyor. UC San Diego da dahil olmak üzere akademik kurumlar vuruldu. Bu karmaşık tehdidin RCE ve web kabuklarını nasıl kullandığını ve buna karşı korunma adımlarını keşfedin.

CloudSEK tarafından Hackread.com ile paylaşılan yakın tarihli bir araştırma, Androxgh0st botnetinin operasyonlarında büyük bir evrim olduğunu ve sistemleri tehlikeye atma yeteneğinde keskin bir artış olduğunu ortaya koyuyor. İlk olarak 2023'ün başlarında gözlemlenen botnet, artık akademik kurumlara ait yanlış yapılandırılmış sunucuların istismarı da dahil olmak üzere daha geniş bir dizi ilk erişim yönteminden yararlanıyor.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da Ocak 2024'te Androxgh0st'un genişlemesi konusunda farkındalığı artıran bir güvenlik duyurusu yayınladı .

CloudSEK'in bulguları, botnet'in 2024'teki önceki bir rapordan bu yana saldırı vektörleri cephaneliğini yaklaşık %50 oranında genişlettiğini gösteriyor. Endişe verici bir keşif, Kaliforniya Üniversitesi, San Diego'nun bir alt etki alanında barındırılan bir komuta ve kontrol (C2) kayıt paneliydi ("USArhythms"). ABD Basketbol Erkekler U19 Milli Takımı'nın içeriğiyle ilişkilidir.

Bu, botnet operatörlerinin kötü amaçlı altyapılarını barındırmak için meşru ancak savunmasız genel etki alanlarını kullandığı ve bu nedenle tespiti daha zor hale getirdiği bir eğilimi göstermektedir. Daha önce CloudSEK, botnet'in kaydedicisini Jamaikalı bir olay toplayıcı platformunda barındırdığını da bildirmiştir.

Androxgh0st botnet, Apache Shiro ve Spring Framework gibi popüler yazılım çerçevelerindeki iyi bilinen güvenlik açıklarını ve WordPress eklentileri ile Lantronix IoT cihazlarındaki sorunları istismar eder . Bu istismarların yetkisiz kod çalıştırma, hassas bilgileri çalma ve hatta tehlikeye atılmış sistemlerde kripto para madenciliği başlatma yeteneği de dahil olmak üzere ciddi sonuçları vardır.

CloudSEK, ilk raporunda Androxgh0st operatörlerinin 2025 yılının ortalarına doğru araç setlerine yeni kötü amaçlı programlar ekleyeceğini öngörmüştü ve bu öngörünün artık gerçekleştiği görülüyor.

Şirketin raporuna göre, Androxgh0st botnet'i sisteme giden yollar olan çeşitli İlk Erişim Vektörleri (IAV'ler) aracılığıyla ilk erişimi elde eder. İçeri girdikten sonra saldırganlar, Komuta ve Kontrol (C2) sunucuları aracılığıyla tehlikeye atılmış cihazlarla iletişim kurar. Ana hedeflerden biri, kendi kodlarını uzaktaki bilgisayarlarda çalıştırmalarını sağlayan Uzaktan Kod Yürütme'dir (RCE).

Bu, genellikle JNDI Enjeksiyonu ve OGNL Enjeksiyonu gibi karmaşık yöntemler kullanılarak elde edilir, özellikle Java tabanlı uygulamalara karşı etkilidir. Bu gelişmiş teknikler, Androxgh0st'un güvenliği atlatmasına ve web kabukları yükleyerek kalıcı kontrolü sürdürmesine olanak tanır.

Bu gelişmeler ışığında, özellikle akademik kurumlar ve etkilenen yazılımları kullanan kuruluşlardan derhal harekete geçmeleri istenmektedir. CloudSEK, Spring4Shell ve Apache Shiro'yu etkileyenler gibi tanımlanan CVE'lere karşı savunmasız tüm sistemlerin yamalanmasını önermektedir.

RMI, LDAP ve JNDI gibi belirli protokoller için giden ağ trafiğini kısıtlamak da önemlidir. WordPress'teki Popup Maker gibi web sitesi eklentilerini düzenli olarak denetlemek ve olağandışı dosya etkinliğini izlemek de Androxgh0st ihlallerini önleme ve tespit etmede hayati adımlardır.

CloudSEK Tehdit Araştırmaları'ndan Koushik Pal, "Çin bağlantılı kitlesel gözetleme kampanyalarına olan önceki odak noktasından çok daha geniş bir istismar stratejisine doğru kayan botnet'in, JNDI enjeksiyonu, OGNL istismarı ve Apache Shiro, Spring ve Fastjson gibi çerçevelere bağlı CVE'ler de dahil olmak üzere daha geniş bir yüksek etkili güvenlik açığı yelpazesini agresif bir şekilde dahil ettiğini gözlemliyoruz" dedi.