🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Voltar
Inteligência do adversário
Androxgh0st continua a exploração: operadores comprometem uma universidade dos EUA para hospedar o C2 Logger
O CloudSEK descobriu que o botnet AndroxGH0st comprometeu um subdomínio da Universidade da Califórnia, em San Diego, para hospedar seu registrador C2. Ativo desde 2023, o botnet explora vulnerabilidades em dispositivos Apache Shiro, Spring4Shell, WordPress, IoT e muito mais para execução remota de código e criptomineração. Webshells também foram implantados para persistência.
June 22, 2025
7
min
Tabela de conteúdo
Inscreva-se nos recursos do CloudSEK
Receba as últimas notícias, ameaças e recursos do setor.
Sumário executivo
A recente investigação da CloudSEK revela que o Botnet Androxgh0st evoluiu significativamente desde sua atividade inicial em 2023, aproveitando uma ampla gama de Vetores de acesso inicial (IAVs). Servidores mal configurados/vulneráveis vinculados a instituições acadêmicas e domínios públicos, como a University of California, o subdomínio “USARhythms” de San Diego, foram encontrados hospedando painéis de registro de comando e controle (C2). O botnet explora plataformas populares (por exemplo, Apache Shiro, Spring framework, WordPress) e dispositivos de IoT (Lantronix), permitindo execução remota de código, roubo de dados confidenciais e criptomineração. As evidências dos registros do C2 destacam as tentativas de exploração usando uma infinidade de técnicas de injeção de comando. Os Webshells implantados em uma infraestrutura comprometida facilitam o acesso persistente e a implantação adicional da carga útil.
Análise
Plano de fundo
- No ano passado, CloudSEKO TRIAD descobriu que o botnet AndroxGh0st vem explorando mais de 20 vulnerabilidades desde pelo menos agosto de 2024. [Relatório completo]
- A CISA lançou uma segurança consultivo em janeiro de 2024, aumentando a conscientização sobre a expansão da botnet AndroxGh0st.
- Após o relatório do CloudSEK, a CISA, além de outros OEMs, reconheceu a exploração ativa das vulnerabilidades e as adicionou à lista KEV.
- Descobertas recentes revelaram que o botnet está operando desde pelo menos março de 2023 e transformou em arma várias novas explorações de aplicativos da web para serem usadas como parte de seu arsenal, além de 4 webshells que provavelmente serão usadas como ferramentas de pós-exploração.
Em nosso primeiro relatório, a CloudSEK previu que os operadores do AndroxGH0ST introduzirão várias novas cargas úteis no mix até meados de 2025. Este relatório tem como objetivo compreender a evolução da botnet, incluindo os principais vetores de acesso inicial (IAVs) que foram transformados em armas, além de nossos relatórios anteriores.
Análise
- Durante nossas verificações de rotina em busca de infraestrutura maliciosa, o TRIAD da CloudSEK encontrou servidores de comando e controle sendo usados pela botnet AndroxGH0st.
- O domínio principal pertence ao”Universidade da Califórnia, San Diego”.
- O subdomínio”Ritmos dos EUA” parece ser um portal que pertence à Seleção Nacional Masculina Sub-19 de Basquete dos EUA, selecionado para a Copa do Mundo de Basquete Sub-19 da FIBA de 2025.
- Conforme relatado anteriormente, Androxgh0st prefere hospedar sua infraestrutura de logger em sites comprometidos. No ano passado, os operadores de botnets hospedaram seu registrador no site de uma plataforma agregadora de eventos jamaicana. Desta vez, é uma universidade nos Estados Unidos.
- Como podemos ver, os servidores estão armazenando as solicitações dos agentes de botnet ao longo do tempo.
Vetores de acesso inicial - Androxgh0st Botnet
Isso marca um aumento de ~ 50% no número de vetores de acesso inicial usados como arma pelo AndroxGh0st desde nosso relatório anterior.
Apache Shiro, injeção JNDI de banco de dados jackson FasterXML
As entradas de registro utilizando “org.apache.shiro.jndi.jndiObjectFactory”, org.apache.xbean.propertyeditor.jndiConverter, com.ibatis.sqlmap.engine.transaction.jta.jtaTransactionConfig com uma URL RMI apontando para um “Exploit” em um C2 são tentativas clássicas de explorar uma interface de nomenclatura e diretório Java Vulnerabilidade de injeção (JNDI). Essa técnica pode levar à Execução Remota de Código (RCE) no servidor de destino. Para Apache Shiro,
- Androxgh0st envia uma solicitação contendo um objeto especialmente criado que especifica a classe org.apache.shiro.jndi.jndiObjectFactory. Essa classe é conhecida por ser vulnerável à injeção de Java Naming and Directory Interface (JNDI).
- O campo ResourceName aponta para um servidor RMI (Remote Method Invocation) malicioso controlado pelo atacante.
- Se o servidor de destino estiver vulnerável, ele se conectará ao servidor do invasor e executará a carga útil, resultando em um comprometimento.
Linhas do registrador de comandos:
Injeção de comando Unix:
O comando “; cat /etc/passwd" simples, mas eficaz, oculto em um parâmetro QueriesCNT é uma tentativa flagrante de executar comandos arbitrários em um sistema semelhante ao Unix e roubar informações confidenciais da conta do usuário.
- O malware injeta um comando shell em um parâmetro que provavelmente será executado pelo sistema operacional do servidor.
- Nesse caso, o comando cat /etc/passwd é anexado a um comando legítimo, separado por ponto e vírgula, para ler o arquivo contendo as informações da conta do usuário.
Linhas do registrador de comandos:
Vulnerabilidade do plugin WordPress (CVE-2019-17574):
O registro faz referência explícita a esse CVE, visando o plugin “Popup Maker” para WordPress na tentativa de explorar uma falha conhecida.
- Esse ataque tem como alvo direto uma vulnerabilidade conhecida no plugin “Popup Maker” para WordPress.
- Ao definir o popmake_action como popup_sysinfo, o atacante está tentando acionar uma função no plug-in que divulga informações do sistema.
Linhas do registrador de comandos:
Injeção de comando Lantronix WlanSCANsSID:
As entradas voltadas para a funcionalidade WLANscanSSID com comandos curl incorporados no parâmetro SSID são indicativas de tentativas de explorar uma vulnerabilidade de injeção de comando, semelhante ao CVE-2021-21881.
- O malware está explorando uma vulnerabilidade de injeção de comando na função WLANscanSSID dos dispositivos Lantronix.
- Ele injeta um comando curl no parâmetro ssid, forçando o dispositivo a fazer uma solicitação HTTP para um servidor controlado pelo atacante.
- Isso confirma que o dispositivo está vulnerável e pode ser controlado remotamente.
Linhas do registrador de comandos:
Injeção OGNL do Apache Struts:
Uma carga útil complexa da Object-Graph Navigation Language (OGNL) está presente, uma marca registrada dos ataques contra a estrutura Apache Struts2 (por exemplo, CVE-2017-5638) que podem resultar em RCE.
- Esse é um ataque sofisticado que usa uma carga útil complexa da Object-Graph Navigation Language (OGNL).
- A carga útil foi projetada para manipular o ambiente de execução Java no servidor para contornar as restrições de segurança.
- O objetivo final dessa carga é executar o comando cat /etc/passwd, semelhante ao ataque mais simples de injeção de comando.
Linhas do registrador de comandos:
Spring Framework RCE (Spring4Shell):
A manipulação de class.module.ClassLoader aponta para tentativas de explorar a vulnerabilidade crítica do Spring4Shell (CVE-2022-22965), que permite a execução remota de código.
- O atacante está manipulando as propriedades do carregador de classes do Spring Framework, uma vulnerabilidade conhecida como Spring4Shell.
- Ao definir o class.module.classloader.resources.context.configFile em um local remoto, o atacante pode induzir o servidor a carregar um arquivo de configuração malicioso.
- Isso pode levar à Execução Remota de Código (RCE), dando ao atacante controle total sobre o servidor.
Linhas do registrador de comandos:
Criptomineração
A presença de solicitações JSON-RPC como {"id”: 1, “método”: “getwork”, “parâmetros”: []} e {"id”: 1, “método”: “eth_getwork”, “parâmetros”: []} sugere fortemente que os atacantes também estão implantando software de mineração de criptomoedas nos servidores que conseguem comprometer. Esses comandos são usados para buscar tarefas de mineração em um pool de mineração.
Além disso, encontramos uma variedade de conchas web projetadas para vários utilitários.
1. abuok.php (hex2bin + carga útil de avaliação)
- O que ele faz:
- Escreve um arquivo PHP que:
- Suprime erros.
- Executa código ofuscado (via eval (hex2bin (...))).
- Embrulhado em lixo “abu... ok” para talvez contornar os scanners básicos.
- Escreve um arquivo PHP que:
- Comportamento da carga útil (decodificado):
- Define uma classe N com os métodos __construct, __destruct e e ().
- Em __destruct (), ele verifica se $this->c [5] === 'P' e executa $this->e ().
- A função e () eventualmente chama eval (...) no código PHP publicado ($_POST ['abu']).
- Isso é execução remota de código via solicitação POST.
2. myabu.php (ofuscação ROT13, eval POST)
- O que ele faz:
- str_rot13 (“riny”) = “eval”.
- Isso significa: eval ($_POST ['abu']);
- Propósito: clássico Web shell PHP aceitando código arbitrário via POST.
3. scwj.php (shell de upload de arquivo)
- Propósito: UM backdoor de upload de arquivos.
- Permite que o invasor carregue qualquer arquivo (por exemplo, mais malware, webshells) para o servidor.
4. baocun.php (conta-gotas de código via área de texto)
$content = '<form method=\ "post\" ><textarea name=\ "x\" ></textarea> <button>abuok <?</button></form> php $_POST “,
“file_put_contents (\" a.php\”, $_POST [\ "x\"]);? >';\ r\n\ r\nif (file_put_contents ($filename, $content, FILE_APPEND)!” : “= false) {\ r\necho\" XRABUOK\”;\ r\n} senão {\ r\necho\ "XRABUSB\”;\ r\n}\ r\n? >\ r\n”
- Propósito: UM conta-gotas de código.
- Aceita entrada via POST em uma área de texto.
- Escreva-o em a.php.
- Por quê? Para permitir que o atacante implante um novo script no sistema.
IOCs
Impacto
- Acesso não autorizado à infraestrutura crítica e aos domínios acadêmicos.
- Violações de dados expondo PII ou arquivos de configuração confidenciais.
- Sistemas comprometidos reaproveitados para criptomineração ou hospedagem de malware.
- Exposição regulatória/legal devido à falha em corrigir CVEs conhecidos.
- Potenciais danos à marca decorrentes do uso indevido de domínios confiáveis.
Mitigações
- Corrija todos os sistemas afetados pelos CVEs listados (por exemplo, Shiro, Spring4Shell, Fastjson, Jackson).
- Restrinja o acesso externo de RMI, LDAP e JNDI no firewall.
- Monitore e fortaleça os plug-ins de CMS, especialmente o “Popup Maker” no WordPress.
- Audite regularmente os sistemas de arquivos em busca de arquivos PHP inesperados.
- Use um WAF ou Runtime Application Self-Protection (RASP) para aplicativos web.
Verifique se há sinais de compromisso
- Procure por webshells PHP com cargas úteis ofuscadas, como eval (hex2bin (...)) ou ROT13.
- Verifique os registros em busca de parâmetros POST suspeitos, como comandos “abu” ou shell.
- Detecte solicitações com valores injetados, como “; cat /etc/passwd" ou expressões OGNL.
- Identifique sinalizações para .oast.me, .oast.today, .oast.fun ou domínios similares.
- Analise os registros do servidor para ver se há atividades JNDI/RMI direcionadas a carregadores de classes ou ao banco de dados Jackson.
- Para detectar uploads maliciosos ou o uso de shells em tempo real, coloque os escaneamentos YARA em:
- /var/www/
- /tmp/
- /carregamentos/
- Pastas de plugins do WordPress
Regra YARA: androxgh0st_webshell_abuok_hex2bin
regra androxgh0st_webshell_abuok_hex2bin
{
meta:
description = “Detecta o webshell AndroxGh0st usando hex2bin + eval”
autor = “CloudSEK”
webshell_variant = "abuok.php”
severidade = “alta”
cordas:
$s1 = “error_reporting (0);” em nenhum caso
$s2 = “eval (hex2bin (” em maiúsculas e minúsculas)
$s3 = “abu<? php” no case
$s4 = “XRABUOK” em maiúsculas
condição:
tamanho de arquivo < 100 KB e todos os ($s*)
}
Regra YARA: androxgh0st_webshell_myabu_rot13_eval
regra Androxgh0st_webshell_myabu_rot13_eval
{
meta:
description = “Detecta o webshell AndroxGh0st usando ROT13 eval”
autor = “CloudSEK”
malware_family = “AndroxGh0st”
webshell_variant = "myabu.php”
severidade = “média”
cordas:
$s1 = “str_rot13 (\" riny\”)” em caso algum
$s2 = “novo V ($_POST [\" abu\ "]);” no case
$s3 = “XRABUOK” em maiúsculas
condição:
tamanho de arquivo < 50 KB e todos os ($s*)
}
Regra YARA: AndroxGH0ST_UPLOAD_SHELL_SCWJ
regra AndroxGH0ST_UPLOAD_SHELL_SCWJ
{
meta:
description = “Detecta o shell de upload de arquivos AndroxGh0st”
autor = “CloudSEK”
webshell_variant = "scwj.php”
severidade = “média”
cordas:
$s1 = “<tipo de entrada =\" arquivo\ "” no case
$s2 = “move_uploaded_file ($_FILES”) em nenhum caso
$s3 = “<? php” no case
$s4 = “XRABUOK” em maiúsculas
condição:
tamanho de arquivo < 50 KB e todos os ($s*)
}
Regra YARA: androxgh0st_dropper_baocun
regra AndroxGH0ST_Dropper_Baocun
{
meta:
description = “Detecta o dropper de código PHP usado pelo AndroxGh0st”
autor = “CloudSEK”
webshell_variant = "baocun.php”
severidade = “média”
cordas:
<textarea name=\ "x\" >$s1 = “” em maiúsculas
$s2 = “file_put_contents (\" a.php\”, $_POST [\ "x\"]);” em nenhum caso
$s3 = “XRABUOK” em maiúsculas
condição:
tamanho de arquivo < 50 KB e todos os ($s*)
}
Referências
Koushik Pal
Nivya Ravi
Inscreva-se nos recursos do CloudSEK
Receba as últimas notícias, ameaças e recursos do setor.
.png)
