Androxgh0st-Botnetz weitet seine Reichweite aus und missbraucht US-Universitätsserver

Neue Erkenntnisse von CloudSEK zeigen die Entwicklung des Androxgh0st-Botnetzes. Akademische Einrichtungen, darunter die UC San Diego, sind betroffen. Erfahren Sie, wie diese raffinierte Bedrohung RCE und Webshells nutzt und wie Sie sich davor schützen können.

Eine aktuelle Untersuchung von CloudSEK, die Hackread.com vorliegt, zeigt eine deutliche Entwicklung in den Aktivitäten des Androxgh0st- Botnetzes und zeigt, dass seine Fähigkeit, Systeme zu kompromittieren, stark zugenommen hat. Das Botnetz, das erstmals Anfang 2023 beobachtet wurde, nutzt nun ein breiteres Spektrum an Erstzugriffsmethoden, darunter auch die Ausnutzung falsch konfigurierter Server akademischer Einrichtungen.

Bemerkenswerterweise veröffentlichte auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) im Januar 2024 eine Sicherheitswarnung, um auf die Expansion von Androxgh0st aufmerksam zu machen.

Die Ergebnisse von CloudSEK deuten darauf hin, dass das Botnetz sein Arsenal an Angriffsvektoren seit einem früheren Bericht aus dem Jahr 2024 um etwa 50 % erweitert hat. Eine besorgniserregende Entdeckung war ein Command-and-Control-(C2)-Logger-Panel, das auf einer Subdomain der University of California, San Diego („USArhythms“) gehostet wurde. Es steht im Zusammenhang mit Inhalten für die US-amerikanische Basketball-U19-Nationalmannschaft.

Dies zeigt einen Trend, bei dem Botnetzbetreiber legitime, aber anfällige öffentliche Domänen nutzen, um ihre schädliche Infrastruktur zu hosten, was die Erkennung erschwert. Zuvor hatte CloudSEK bereits berichtet, dass das Botnetz seinen Logger auf einer jamaikanischen Event-Aggregator-Plattform hostet.

Das Androxgh0st-Botnetz nutzt bekannte Schwachstellen in gängigen Software-Frameworks wie Apache Shiro und Spring Framework sowie Probleme in WordPress-Plugins und Lantronix-IoT-Geräten aus. Diese Exploits haben schwerwiegende Folgen, darunter die Möglichkeit, nicht autorisierten Code auszuführen, vertrauliche Informationen zu stehlen und sogar Kryptowährungs-Mining auf kompromittierten Systemen zu initiieren.

CloudSEK hatte in seinem ersten Bericht vorhergesagt, dass die Betreiber von Androxgh0st bis Mitte 2025 neue Schadprogramme in ihren Werkzeugkasten aufnehmen würden, eine Vorhersage, die sich nun zu bewahrheiten scheint.

Laut dem Unternehmensbericht erhält das Androxgh0st-Botnetz den ersten Zugriff über verschiedene Initial Access Vectors (IAVs), die die Zugangswege zu einem System bilden. Im System kommunizieren Angreifer über Command-and-Control-Server (C2) mit den kompromittierten Geräten. Ein wichtiges Ziel ist die Remote Code Execution (RCE), die es ihnen ermöglicht, eigenen Code auf entfernten Computern auszuführen.

Dies wird häufig durch komplexe Methoden wie JNDI-Injection und OGNL-Injection erreicht, die besonders effektiv gegen Java-basierte Anwendungen sind. Diese fortschrittlichen Techniken ermöglichen es Androxgh0st, Sicherheitsvorkehrungen zu umgehen und die Kontrolle dauerhaft zu behalten, häufig durch die Installation von Webshells.

Angesichts dieser Entwicklungen werden Organisationen, insbesondere akademische Einrichtungen und Anwender der betroffenen Software, dringend zum sofortigen Handeln aufgefordert. CloudSEK empfiehlt, alle Systeme zu patchen, die für die identifizierten CVEs anfällig sind, wie beispielsweise Spring4Shell und Apache Shiro.

Die Einschränkung des ausgehenden Netzwerkverkehrs für bestimmte Protokolle wie RMI, LDAP und JNDI ist ebenfalls wichtig. Regelmäßige Überprüfungen von Website-Plugins wie Popup Maker in WordPress und die Überwachung ungewöhnlicher Dateiaktivitäten sind ebenfalls wichtige Schritte zur Verhinderung und Erkennung von Androxgh0st-Kompromittierungen.

„Der Fokus lag früher nicht mehr auf Massenüberwachungskampagnen mit Verbindungen zu China, sondern es wurde eine viel umfassendere Ausnutzungsstrategie verfolgt. Wir beobachten nun, dass das Botnetz aggressiv eine größere Bandbreite schwerwiegender Schwachstellen integriert, darunter JNDI-Injektion, OGNL-Ausnutzung sowie CVEs, die an Frameworks wie Apache Shiro, Spring und Fastjson gebunden sind“, sagte Koushik Pal von Threat Research bei CloudSEK.