El Androxgh0st Botnet ha ampliado significativamente sus operaciones desde 2023, y los ciberdelincuentes ahora comprometen las prestigiosas instituciones académicas para organizar su infraestructura de comando y control.
Esta sofisticada campaña de malware ha demostrado una notable persistencia y evolución, dirigida a una amplia gama de vulnerabilidades en aplicaciones web, marcos y dispositivos de Internet de las cosas para establecer el acceso generalizado de la red.
Los operadores de Botnet han mostrado una astucia particular en su selección de infraestructura de alojamiento, prefiriendo incrustar sus operaciones maliciosas dentro de dominios legítimos y confiables.
Este enfoque estratégico no solo proporciona cobertura operativa, sino que también explota la confianza inherente asociada con los sitios web educativos e institucionales.
La elección de dirigirse a las instituciones académicas refleja una decisión calculada de aprovechar dominios que generalmente reciben menos escrutinio de los sistemas de monitoreo de seguridad y mantienen altos puntajes de reputación con los proveedores de seguridad.
Analistas de Cloudsek identificado que los operadores de Androxgh0st comprometieron con éxito un subdominio de la Universidad de California, San Diego, específicamente “api.usarhythms.ucsd.edu”, para organizar su registrador de comando y control.
Caza de infraestructura maliciosa – Paneles de registrador y remitente de comandos no encontrados (Fuente – CloudSek)
Este subdominio en particular parece estar asociado con el portal del equipo nacional U19 de Baloncesto USA Basketball, lo que demuestra cómo los atacantes explotan propiedades de la web institucional legítimas pero potencialmente submonitorizadas.
El compromiso representa una escalada significativa en las medidas de seguridad operativa y sofisticación de la botnet.
La metodología de ataque del malware abarca la explotación de más de veinte vulnerabilidades distintas, marcando un aumento del cincuenta por ciento en los vectores de acceso iniciales en comparación con las campañas anteriores.
Estas vulnerabilidades abarcan múltiples pilas de tecnología, incluidas las fallas de inyección de Apache Shiro JNDI, las vulnerabilidades de ejecución del código remoto del marco de Spring (Spring4Shell), las debilidades del complemento de WordPress y las vulnerabilidades de inyección de comandos de dispositivos de Internet de las cosas.
La diversidad de vectores de ataque garantiza una amplia cobertura objetivo y maximiza la probabilidad de un compromiso exitoso del sistema en diferentes entornos organizacionales.
Mecanismos de implementación y persistencia de WebShell
Los operadores Androxgh0st implementan un arsenal sofisticado de cuatro redes web distintas diseñadas para el acceso persistente y la explotación continua de los sistemas comprometidos.
La webshell principal, “abuok.php”, emplea la codificación hexadecimal combinada con la función evaluación de PHP para ejecutar cargas útiles ofuscadas.
El código malicioso utiliza Eval (hex2bin ()) para decodificar y ejecutar comandos integrados, mientras envuelve la carga útil en cadenas de texto aparentemente inocuas para evadir los mecanismos de detección básicos.
error_reporting (0); eval (hex2bin (“636c6173733204e7b707 …”));
La variante “myabu.php” demuestra técnicas de evasión adicionales a través de la codificación de ROT13, donde Str_rot13 (“Riny”) produce “Eval” para ejecutar el código arbitrario enviado a través de solicitudes posteriores.
Este método de codificación proporciona una capa de ofuscación simple pero efectiva que omite los sistemas de detección basados en la firma al tiempo que mantiene las capacidades completas de ejecución del código remoto.
Las WebShells habilitan colectivamente la funcionalidad de carga de archivos, las capacidades de inyección de código y el acceso persistente a la puerta trasera, asegurando que incluso si los vectores de infección primaria están parcheados, los atacantes mantienen múltiples vías para el acceso y la explotación continuos del sistema.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
