Los actores de amenazas detr\u00e1s del malware AndroxGh0st ahora est\u00e1n explotando un conjunto m\u00e1s amplio de fallas de seguridad que afectan a varias aplicaciones conectadas a Internet, al mismo tiempo que implementan el malware botnet Mozi.<\/p>\n
“Esta botnet utiliza ejecuci\u00f3n remota de c\u00f3digo y m\u00e9todos de robo de credenciales para mantener un acceso persistente, aprovechando vulnerabilidades sin parches para infiltrarse en infraestructuras cr\u00edticas”, CloudSEK dicho<\/a> en un nuevo informe.<\/p>\n AndroxGh0st es el nombre que se le da a una herramienta de ataque en la nube basada en Python que es conocida por apuntar a aplicaciones Laravel con el objetivo de datos confidenciales relacionados con servicios como Amazon Web Services (AWS), SendGrid y Twilio.<\/p>\n Activo desde al menos 2022, anteriormente aprovech\u00f3 fallas en el servidor web Apache (CVE-2021-41773<\/a>), Marco Laravel (CVE-2018-15133<\/a>) y PHPUnidad (CVE-2017-9841<\/a>) para obtener acceso inicial, escalar privilegios y establecer un control persistente sobre los sistemas comprometidos.<\/p>\n A principios de marzo, las agencias de inteligencia y ciberseguridad de EE. UU. revelaron que los atacantes est\u00e1n implementando el malware AndroxGh0st para crear una botnet para “identificar y explotar a las v\u00edctimas en las redes objetivo”.<\/p>\n El \u00faltimo an\u00e1lisis de CloudSEK revela una expansi\u00f3n estrat\u00e9gica del enfoque de orientaci\u00f3n, y el malware ahora explota una serie de vulnerabilidades para el acceso inicial.<\/p>\n “La botnet recorre nombres de usuario administrativos comunes y utiliza un patr\u00f3n de contrase\u00f1a consistente”, dijo la compa\u00f1\u00eda. “La URL de destino redirige a \/wp-admin\/, que es el panel de administraci\u00f3n backend para los sitios de WordPress. Si la autenticaci\u00f3n es exitosa, obtiene acceso a los controles y configuraciones cr\u00edticos del sitio web”.<\/p>\n Tambi\u00e9n se ha observado que los ataques aprovechan fallas de ejecuci\u00f3n de comandos no autenticados en dispositivos Netgear DGN y enrutadores dom\u00e9sticos Dasan GPON para eliminar una carga \u00fatil llamada “Mozi.m” desde diferentes servidores externos (“200.124.241[.]140” y “117.215.206[.]216”).<\/p>\n Mozi es otra botnet muy conocida que tiene un historial de atacar dispositivos IoT para incorporarlos a una red maliciosa y realizar ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/AndroxGh0st-Malware-integra-Mozi-Botnet-para-apuntar-a-IoT-y.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/div>\n