São Paulo — InkDesign News — A evolução do botnet Androxgh0st, identificada em um relatório recente pelo CloudSEK, revela um aumento na utilização de vulnerabilidades em instituições acadêmicas e na exploração de sistemas, destacando métodos sofisticados como RCE e shells web.
Incidente e vulnerabilidade
O Androxgh0st, um botnet observado inicialmente em 2023, agora emprega uma diversidade de vetores de acesso inicial para comprometer sistemas, explorando servidores mal configurados em instituições acadêmicas. O relatório menciona spécificamente a exploração de vulnerabilidades conhecidas em frameworks populares, como Apache Shiro e Spring Framework, além de plugins do WordPress e dispositivos IoT da Lantronix. O ataque pode levar à execução remota de código (RCE), exfiltração de dados sensíveis e até mesmo mineração de criptomoedas pelos dispositivos comprometidos.
Impacto e resposta
A investigação do CloudSEK destacou um painel de log de comando e controle (C2) hospedado em um subdomínio da University of California, San Diego, relacionado ao time de basquete masculino U19 dos EUA. Este fato ressalta a tendência de operadores de botnets utilizarem domínios públicos e legítimos para criar sua infraestrutura maliciosa, dificultando a detecção por ferramentas de segurança. “Observamos o botnet se afastar de suas campanhas de vigilância em massa vinculadas à China, adotando uma estratégia de exploração mais ampla”, disse Koushik Pal, da CloudSEK.
Mitigações recomendadas
Diante dessa ameaça, recomenda-se que as organizações, especialmente instituições acadêmicas e que utilizam os softwares afetados, tomem medidas imediatas. É aconselhável aplicar patches de segurança em todos os sistemas vulneráveis, focando nas CVEs relacionadas ao Spring4Shell e Apache Shiro. Além disso, restringir o tráfego de rede de saída para protocolos como RMI, LDAP e JNDI é essencial. A auditoria regular de plugins de websites e o monitoramento de atividades incomuns em arquivos são passos vitais para prevenir e detectar compromissos relacionados ao Androxgh0st.
A mudança no foco de exploração do botnet enfatiza a necessidade de um monitoramento constante das vulnerabilidades.
(“Shifting from its earlier focus on Chinese-linked mass surveillance campaigns to a much broader exploitation strategy has been observed.”)— Koushik Pal, Threat Research, CloudSEK
Os riscos residuais incluem a possibilidade de novas infecções e a necessidade contínua de vigilância e atualização das defesas de segurança. A implementação de boas práticas de segurança será fundamental para mitigar essas ameaças futuras.
Fonte: (Hack Read – Segurança Cibernética)
