Le botnet Androxgh0st étend sa portée en exploitant les serveurs des universités américaines

De nouvelles découvertes CloudSEK montrent l'évolution du botnet Androxgh0st. Des établissements universitaires, dont l'UC San Diego, ont été touchés. Découvrez comment cette menace sophistiquée utilise les RCE et les webshells, et les mesures à prendre pour s'en protéger.

Une enquête récente de CloudSEK, partagée avec Hackread.com, révèle une évolution majeure dans les opérations du botnet Androxgh0st , démontrant une forte augmentation de sa capacité à compromettre les systèmes. Ce botnet, observé pour la première fois début 2023, exploite désormais un éventail plus large de méthodes d'accès initiales, notamment l'exploitation de serveurs mal configurés appartenant à des institutions universitaires.

Il convient de noter que l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également publié un avis de sécurité en janvier 2024, sensibilisant à l'expansion d'Androxgh0st.

Les conclusions de CloudSEK indiquent que le botnet a étendu son arsenal de vecteurs d'attaque d'environ 50 % depuis un précédent rapport de 2024. Une découverte inquiétante concerne un panneau d'enregistrement de commande et de contrôle (C2) hébergé sur un sous-domaine de l'Université de Californie à San Diego (« USArhythms »). Il est associé au contenu de l'équipe nationale masculine de basket-ball des États-Unis des moins de 19 ans.

Cela illustre une tendance selon laquelle les opérateurs de botnets utilisent des domaines publics légitimes, mais vulnérables, pour héberger leur infrastructure malveillante, ce qui complique la détection. CloudSEK avait également signalé précédemment que le botnet hébergeait son enregistreur sur une plateforme d'agrégation d'événements jamaïcaine.

Le botnet Androxgh0st exploite des vulnérabilités bien connues dans des frameworks logiciels populaires tels qu'Apache Shiro et Spring Framework, ainsi que des problèmes dans les plugins WordPress et les objets connectés Lantronix. Ces exploits ont de graves conséquences, notamment la possibilité d'exécuter du code non autorisé, de voler des informations sensibles et même de lancer le minage de cryptomonnaies sur des systèmes compromis.

CloudSEK avait prédit dans son premier rapport que les opérateurs d'Androxgh0st introduiraient de nouveaux programmes malveillants dans leur boîte à outils d'ici la mi-2025, une prédiction qui semble désormais se réaliser.

Selon le rapport de l'entreprise, le botnet Androxgh0st obtient un accès initial via différents vecteurs d'accès initiaux (IAV), qui constituent les voies d'accès à un système. Une fois à l'intérieur, les attaquants communiquent avec les appareils compromis via des serveurs de commande et de contrôle (C2). L'un des objectifs clés est l'exécution de code à distance (RCE), leur permettant d'exécuter leur propre code sur des ordinateurs distants.

Cela est souvent réalisé grâce à des méthodes complexes comme l'injection JNDI et l'injection OGNL, particulièrement efficaces contre les applications Java. Ces techniques avancées permettent à Androxgh0st de contourner la sécurité et de maintenir un contrôle persistant, souvent en installant des webshells.

Compte tenu de ces développements, les organisations, en particulier les établissements universitaires, et ceux qui utilisent les logiciels concernés sont vivement encouragés à agir immédiatement. CloudSEK recommande de corriger tous les systèmes vulnérables aux CVE identifiés, tels que ceux affectant Spring4Shell et Apache Shiro.

Il est également crucial de restreindre le trafic réseau sortant pour certains protocoles comme RMI, LDAP et JNDI. L'audit régulier des plugins de sites web, comme Popup Maker dans WordPress, et la surveillance des activités inhabituelles sur les fichiers sont également des étapes essentielles pour prévenir et détecter les compromissions d'Androxgh0st.

« Passant de sa concentration initiale sur les campagnes de surveillance de masse liées à la Chine à une stratégie d'exploitation beaucoup plus large, nous observons maintenant que le botnet intègre de manière agressive un plus large éventail de vulnérabilités à fort impact, notamment l'injection JNDI, l'exploitation OGNL, y compris les CVE liés à des frameworks comme Apache Shiro, Spring et Fastjson », a déclaré Koushik Pal, Threat Research, CloudSEK.