Университет Калифорнии продался хакерам — официально, публично и за копейки

Ботнет Androxgh0st , ранее известный своими атаками на уязвимые серверы и IoT-устройства, продолжает активно эволюционировать и расширять спектр угроз. Новое расследование, проведённое аналитиками из CloudSEK, раскрывает тревожные детали о том, как эта вредоносная сеть всё чаще использует ресурсы академических учреждений для маскировки своей деятельности и увеличения масштабов атак.

С момента первого обнаружения в начале 2023 года Androxgh0st демонстрирует постоянный рост возможностей. По данным CloudSEK, арсенал методов первоначального проникновения, используемых ботнетом, увеличился уже примерно на 50% по сравнению с началом 2024 года. Особую обеспокоенность вызывает тот факт, что операторы Androxgh0st всё чаще задействуют легитимные, но слабо защищённые домены известных организаций для размещения своих управляющих панелей.

Так, специалисты обнаружили панель для управления ботнетом, размещённую на поддомене университета Калифорнии в Сан-Диего, который связан с сайтом баскетбольной сборной США среди юниоров. Это подтверждает опасную тенденцию: злоумышленники активно маскируют свои серверы под доверенные ресурсы, что существенно затрудняет их выявление и блокировку. Ранее подобная тактика уже использовалась для размещения инфраструктуры Androxgh0st на портале, агрегирующем культурные мероприятия Ямайки.

Согласно отчёту CloudSEK, ботнет эксплуатирует ряд хорошо известных уязвимостей в популярных платформах и фреймворках, включая Apache Shiro, Spring Framework, а также плагины WordPress и сетевые устройства Lantronix IoT. Такие атаки позволяют злоумышленникам выполнять удалённый произвольный код, похищать конфиденциальные данные, устанавливать скрытые веб-оболочки для дальнейшего контроля над системой и даже запускать скрытую добычу криптовалюты.

Прогнозы CloudSEK о том, что к середине 2025 года в арсенале Androxgh0st появятся новые вредоносные инструменты, уже начали подтверждаться. Расширение возможностей ботнета особенно опасно для образовательного и исследовательского сектора, традиционно считающегося лакомой целью из-за наличия мощных серверов и недостаточно строгой IT-защиты.

Эксперты подчёркивают, что Androxgh0st активно использует сложные методы атак, включая инъекции JNDI и OGNL, которые нацелены на Java-приложения. Эти техники позволяют обходить стандартные средства безопасности и сохранять устойчивое присутствие в системах жертв за счёт установки веб-оболочек и других скрытых инструментов.

В качестве мер защиты специалисты рекомендуют срочно устранять все уязвимости, перечисленные в известных CVE, таких как Spring4Shell и уязвимости Apache Shiro. Помимо этого, крайне важно ограничить исходящий сетевой трафик для протоколов RMI, LDAP и JNDI, которые активно используются в атаках Androxgh0st. Рекомендуется регулярно проверять установленные плагины WordPress, в том числе популярный Popup Maker, и внимательно следить за подозрительной активностью файловой системы.

Особое внимание следует уделять серверам и системам в университетской и научной инфраструктуре, так как именно такие объекты часто становятся мишенью из-за открытых сервисов и недостаточного уровня киберзащиты.

По словам представителей CloudSEK, раньше наблюдалась привязка активности Androxgh0st к кибершпионажу с участием китайских группировок. Теперь же масштабы угрозы значительно расширились, и ботнет активно использует широкий спектр уязвимостей, включая те, что связаны с инъекциями JNDI, OGNL и уязвимостями таких фреймворков, как Apache Shiro, Spring и Fastjson.

На этом фоне рекомендации специалистов становятся особенно актуальными, так как игнорирование обновлений безопасности и небрежность в настройках серверов делают организации лёгкой добычей для таких масштабных ботнетов, как Androxgh0st.