Угроза глубокого залегания: ботнет Androxgh0st захватил поддомен американского университета

Киберпреступники из группировки Androxgh0st разместили управляющий сервер на поддомене Университета Калифорнии в Сан-Диего — причем под видом сайта баскетбольной сборной США среди юниоров. Об этом сообщили исследователи из компании CloudSEK, занимающейся анализом киберугроз. Такой приём — не случайность, а часть продуманной стратегии: злоумышленники все чаще маскируют свои действия под деятельность уважаемых организаций, чтобы их сложнее было обнаружить.

Ботнет Androxgh0st активно развивается с 2023 года, и за последний год его арсенал заметно пополнился. Хакеры используют уязвимости в популярных фреймворках и системах — от Apache Shiro и Spring до WordPress и сетевых устройств Lantronix. Это позволяет им запускать вредоносный код, похищать данные, ставить скрытые веб-оболочки и даже майнить криптовалюту на чужих серверах. Особенно часто мишенью становятся университеты — из-за мощных серверов и слабой IT-безопасности.

По данным CloudSEK, Androxgh0st уже размещал управляющие панели на сайтах культурных организаций и теперь перешёл к вузам. Угроза быстро набирает обороты: вредонос проникает в системы, используя инъекции JNDI и OGNL, с помощью которых он обходит стандартные меры защиты и закрепляется в инфраструктуре.

Эксперты настоятельно рекомендуют закрывать известные уязвимости — особенно Spring4Shell и баги Apache Shiro, а также ограничивать сетевые протоколы, через которые чаще всего идут атаки. Университетам важно регулярно проверять активность на своих серверах, следить за состоянием плагинов и не оставлять без внимания подозрительные изменения — иначе их ресурсы могут стать частью чьей-то вредоносной сети.