Il malware AndroxGh0st ha recentemente integrato il botnet Mozi per colpire dispositivi IoT e servizi cloud, espandendo il suo raggio d'azione e la sua efficacia. Questo sviluppo rappresenta una minaccia significativa per la sicurezza informatica, visto che entrambi i malware sono noti per la loro capacità di sfruttare vulnerabilità non patchate per infiltrarsi nelle infrastrutture critiche. Il botnet Mozi utilizza metodi di esecuzione di codice remoto e furto di credenziali per mantenere un accesso persistente e ora, unito a AndroxGh0st, amplia le sue capacità di attacco.

AndroxGh0st e le sue tecniche di attacco

AndroxGh0st è uno strumento di attacco cloud basato su Python che ha preso di mira applicazioni Laravel per ottenere dati sensibili da servizi come Amazon Web Services (AWS), SendGrid e Twilio. Attivo dal 2022, ha precedentemente sfruttato vulnerabilità in Apache, Laravel Framework e PHPUnit per ottenere l'accesso iniziale e stabilire un controllo persistente sui sistemi compromessi. Recentemente, le analisi hanno rivelato un'espansione strategica della sua attenzione, sfruttando una serie di vulnerabilità per l'accesso iniziale, inclusi difetti in Cisco ASA WebVPN, Dasan GPON e Sophos Firewall, tra gli altri.

Il ruolo del botnet Mozi

Il botnet Mozi, noto per colpire dispositivi IoT per condurre attacchi DDoS, è stato precedentemente ridotto grazie a interventi delle autorità cinesi che hanno arrestato i suoi autori nel 2021. Tuttavia, un calo significativo dell'attività di Mozi è stato notato solo nell'agosto 2023, quando è stato distribuito un comando di kill switch per terminare il malware. L'integrazione di Mozi da parte di AndroxGh0st suggerisce una possibile alleanza operativa, consentendo al malware di propagarsi su più dispositivi.

Implicazioni dell'integrazione tra AndroxGh0st e Mozi

Questa collaborazione non solo estende la portata del malware, ma evidenzia anche un livello avanzato di integrazione operativa tra AndroxGh0st e Mozi. Se entrambi i botnet utilizzano la stessa infrastruttura di comando, ciò potrebbe indicare che sono sotto il controllo dello stesso gruppo di cybercriminali. Questa condivisione dell'infrastruttura semplificherebbe il controllo su un ampio range di dispositivi, aumentando l'efficacia e l'efficienza delle loro operazioni combinate.

Scoperte di sicurezza recenti

L'analisi di CloudSEK ha rivelato che AndroxGh0st utilizza una password coerente per ottenere l'accesso ai pannelli di amministrazione WordPress, attraverso cui può controllare impostazioni critiche del sito web. Gli attacchi sono stati osservati sfruttare difetti di esecuzione di comandi non autenticati in dispositivi Netgear e router domestici Dasan GPON per distribuire un payload chiamato "Mozi.m". Questi sviluppi sottolineano la necessità di una maggiore attenzione alla sicurezza nei dispositivi IoT e nei servizi cloud per prevenire accessi non autorizzati e proteggere le infrastrutture critiche.