A Veriti Research descobriu um aumento nos ataques de operadores da família de malware Androxgh0st, descobrindo mais de 600 servidores comprometidos principalmente nos EUA, Índia e Taiwan.
De acordo com a postagem no blog da Veriti, o adversário por trás do Androxgh0st teve seu servidor C2 exposto, o que poderia permitir um contra-ataque, revelando os alvos afetados. Os pesquisadores então passaram a alertar as vítimas.
Outras pesquisas revelaram que os operadores Androxgh0st estão explorando vários CVEs, incluindo CVE-2021-3129 e CVE-2024-1709 para implantar um web shell em servidores vulneráveis, garantindo recursos de controle remoto. Além disso, as evidências sugerem web shells ativos associados ao CVE-2019-2725 .
Hackread.com tem rastreado as operações do Androxgh0st desde que foi notado pela primeira vez em dezembro de 2022. O operador de malware é conhecido por implantar o ransomware Adhublika e foi observado anteriormente se comunicando com um endereço IP associado ao grupo Adhublika.
Os operadores Androxgh0st preferem explorar aplicativos Laravel para roubar credenciais de serviços baseados em nuvem como AWS, SendGrid e Twilio. Eles exploram vulnerabilidades em servidores web Apache e estruturas PHP, implantando webshells para persistência.
No entanto. seu foco recente parece ser a construção de botnets para explorar mais sistemas. Recentemente, o FBI e a CISA emitiram um comunicado conjunto de Consultoria de Segurança Cibernética (CSA), alertando sobre a Androxgh0st construindo uma botnet para realizar roubo de credenciais e estabelecer acesso backdoor.
No ano passado, a Cado Security Ltd. revelou os detalhes de um coletor de credenciais baseado em Python e uma ferramenta de hacking chamada Legion, ligada à família de malware AndroxGh0st. Legion foi projetado para explorar serviços de e-mail para abuso.
A pesquisa da Veriti mostra a importância do gerenciamento proativo de exposição e da inteligência contra ameaças na segurança cibernética. As organizações devem atualizar regularmente suas medidas de segurança, incluindo gerenciamento de patches para vulnerabilidades conhecidas, forte monitoramento de implantação de web shell e ferramentas de análise comportamental para prevenir violações e proteger contra vulnerabilidades semelhantes.
Meta notificou autoridades de que cerca de 20.225 contas do Instagram podem ter sido sequestradas…
Microsoft fechou junho de 2026 com o maior Patch Tuesday da historia: 206 CVEs, incluindo…
O GitHub anunciou que o npm versao 12 desligara por padrao a execucao automatica de…
CISA adiciona CVE-2026-42271 ao KEV: bug no LiteLLM da BerryAI vira RCE não autenticada quando…
Mid and South Essex confirma 2.380 registros comprometidos, somando-se aos 33 mil do Bedfordshire —…
Trend Micro confirma que Gamaredon (Earth Dahu) e SHADOW-EARTH-066 ainda exploram a CVE-2025-8088 no WinRAR…
