A Veriti Research descobriu um aumento nos ataques de operadores da família de malware Androxgh0st, descobrindo mais de 600 servidores comprometidos principalmente nos EUA, Índia e Taiwan.
De acordo com a postagem no blog da Veriti, o adversário por trás do Androxgh0st teve seu servidor C2 exposto, o que poderia permitir um contra-ataque, revelando os alvos afetados. Os pesquisadores então passaram a alertar as vítimas.
Outras pesquisas revelaram que os operadores Androxgh0st estão explorando vários CVEs, incluindo CVE-2021-3129 e CVE-2024-1709 para implantar um web shell em servidores vulneráveis, garantindo recursos de controle remoto. Além disso, as evidências sugerem web shells ativos associados ao CVE-2019-2725 .
Hackread.com tem rastreado as operações do Androxgh0st desde que foi notado pela primeira vez em dezembro de 2022. O operador de malware é conhecido por implantar o ransomware Adhublika e foi observado anteriormente se comunicando com um endereço IP associado ao grupo Adhublika.
Os operadores Androxgh0st preferem explorar aplicativos Laravel para roubar credenciais de serviços baseados em nuvem como AWS, SendGrid e Twilio. Eles exploram vulnerabilidades em servidores web Apache e estruturas PHP, implantando webshells para persistência.
No entanto. seu foco recente parece ser a construção de botnets para explorar mais sistemas. Recentemente, o FBI e a CISA emitiram um comunicado conjunto de Consultoria de Segurança Cibernética (CSA), alertando sobre a Androxgh0st construindo uma botnet para realizar roubo de credenciais e estabelecer acesso backdoor.
No ano passado, a Cado Security Ltd. revelou os detalhes de um coletor de credenciais baseado em Python e uma ferramenta de hacking chamada Legion, ligada à família de malware AndroxGh0st. Legion foi projetado para explorar serviços de e-mail para abuso.
A pesquisa da Veriti mostra a importância do gerenciamento proativo de exposição e da inteligência contra ameaças na segurança cibernética. As organizações devem atualizar regularmente suas medidas de segurança, incluindo gerenciamento de patches para vulnerabilidades conhecidas, forte monitoramento de implantação de web shell e ferramentas de análise comportamental para prevenir violações e proteger contra vulnerabilidades semelhantes.
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…
Campanha de phishing com falso e-mail da SSA desativa proteções do Windows e instala ScreenConnect…
