AndroxGh0st Botnet kommer op i CISA's radar

Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation har udstedt en advarsel vedrørende udbredelsen af AndroxGh0st malware af trusselsaktører. Disse aktører er ved at etablere et botnet med det formål at "identificere og udnytte ofre i målrettede netværk."

AndroxGh0st, en Python-baseret malware, der oprindeligt blev dokumenteret i december 2022, har tjent som inspiration til skabelsen af lignende værktøjer såsom AlienFox, GreenBot (også kendt som Maintance), Legion og Predator.

Dette cloud-angrebsværktøj er dygtig til at infiltrere servere med kendte sikkerhedssårbarheder, få adgang til Laravel-miljøfiler og løfte legitimationsoplysninger til fremtrædende applikationer som Amazon Web Services (AWS), Microsoft Office 365, SendGrid og Twilio.

AndroxGh0st misbruger adskillige sårbarheder

Angriberne udnytter bemærkelsesværdige sårbarheder som CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) og CVE-2018-15133 (Laravel Framework) som en del af deres våbenstrategi.

Forskere understregede, at AndroxGh0st besidder flere funktioner, der letter SMTP-misbrug, herunder scanning, udnyttelse af blotlagte legitimationsoplysninger og API'er og implementering af web-shells. Især hvad angår AWS, scanner og analyserer malwaren ikke kun AWS-nøgler, men har også evnen til at generere nøgler til brute-force-angreb.

Disse muligheder gør AndroxGh0st til en formidabel trussel, der muliggør download af yderligere nyttelast og etablering af vedvarende adgang til kompromitterede systemer.

Denne udvikling kommer kort efter SentinelOne afslørede et værktøj kaldet FBot, der bruges af angribere til at bryde webservere, cloud-tjenester, indholdsstyringssystemer (CMS) og SaaS-platforme.