网络安全警报：Androxgh0st僵尸网络通过Mozi技术卷土重来

土耳鸡烤鸡

据外媒消息。有多家网络安全研究机构最近发现，Androxgh0st 僵尸网络经历了一次重大的升级，通过融合了 Mozi 僵尸网络的功能，这一威胁变得更加棘手。

CloudSEK 威胁研究团队指出，自 2024 年初以来针对 Web 服务器的攻击已进一步蔓延，使得 Androxgh0st 现在能够利用物联网设备中的漏洞。

根据他们的最新报告，这个僵尸网络如今已经集成了 Mozi 先进的技术，可以感染并传播到各种联网设备上。

提到 Mozi，它曾因感染 Netgear 和 D-Link 路由器等 IoT 设备而声名狼藉，据说在 2023 年触发自毁开关后一度销声匿迹。

然而，CloudSEK 揭示，Androxgh0st 已成功整合了 Mozi 的传播功能，显著提升了其在物联网设备中的攻击潜力。

通过巧妙地将Mozi的有效载荷纳入麾下，Androxgh0st如今拥有了一个更为统一且强大的僵尸网络基础设施。它采用了一系列精心设计的策略，专为渗透物联网网络而量身打造。这种融合不仅让僵尸网络能够更高效地通过那些易受攻击的设备（如路由器及其他各类连接技术）进行传播，还显著增强了其破坏力。

除此之外，Androxgh0st也拓宽了其瞄准的目标漏洞范围，开始利用关键系统中的薄弱环节。根据CloudSEK的深入分析，Androxgh0st当前正积极攻击一些主流技术，其中包括Cisco ASA、Atlassian JIRA以及多种PHP框架。这无疑表明，这一威胁正在变得愈发复杂且难以捉摸。

在思科 ASA 系统中，这个狡猾的僵尸网络巧妙地利用了跨站点脚本（XSS）漏洞，通过未指明的参数注入恶意脚本。此外，它还利用了路径遍历漏洞（CVE-2021-26086），攻击 Atlassian JIRA，使攻击者能够在未授权的情况下访问敏感文件。在 PHP 框架中，Androxgh0st 运用了诸如 Laravel (CVE-2018-15133) 和 PHPUnit (CVE-2017-9841) 中的老漏洞，为受感染的系统打开了一扇通往后门的门。

尽管 Androxgh0st 威胁态势主要依赖于这些古老的漏洞，但它也展现了与时俱进的能力，能够利用新发现的漏洞。例如，在 TP-Link Archer AX21 固件中发现了 CVE-2023-1389，这使得未经身份验证的命令执行成为可能；而在 GeoServer 中的 CVE-2024-36401 漏洞，则可能导致远程代码执行。这些新漏洞无疑让 Androxgh0st 的威胁更加严峻。

该僵尸网络如今不仅采用了暴力凭证填充、命令注入和文件包含等高明手段入侵系统，更是借助Mozi专攻物联网的战略，大幅扩展了其地理版图，感染范围现已遍及亚洲、欧洲乃至更远的地方。

CloudSEK 强烈建议各组织强化自身安全防御，以抵御潜在的攻击威胁。虽然及时修补漏洞至关重要，但积极监测网络流量同样不可或缺。通过追踪可疑的出站连接并识别异常登录尝试——特别是那些源自物联网设备的登录尝试，组织便能尽早察觉到Androxgh0st与Mozi合作的蛛丝马迹。