AndroxGh0st-Botnetz taucht im Radar von CISA auf

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation haben eine Warnung bezüglich des Einsatzes der AndroxGh0st-Malware durch Bedrohungsakteure herausgegeben. Diese Akteure bauen ein Botnetz auf, um „Opfer in gezielten Netzwerken zu identifizieren und auszunutzen“.

AndroxGh0st, eine Python-basierte Malware, die erstmals im Dezember 2022 dokumentiert wurde, diente als Inspiration für die Entwicklung ähnlicher Tools wie AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator.

Dieses Cloud-Angriffstool ist in der Lage, Server mit bekannten Sicherheitslücken zu infiltrieren, sich Zugriff auf Laravel-Umgebungsdateien zu verschaffen und Anmeldeinformationen für bekannte Anwendungen wie Amazon Web Services (AWS), Microsoft Office 365, SendGrid und Twilio zu entwenden.

AndroxGh0st missbraucht mehrere Sicherheitslücken

Die Angreifer nutzen im Rahmen ihrer Waffenstrategie bemerkenswerte Schwachstellen wie CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) und CVE-2018-15133 (Laravel Framework) aus.

Die Forscher betonten, dass AndroxGh0st über mehrere Funktionen verfügt, die den SMTP-Missbrauch erleichtern, darunter Scannen, Ausnutzen offengelegter Anmeldeinformationen und APIs sowie die Bereitstellung von Web-Shells. Besonders besorgniserregend für AWS ist, dass die Malware nicht nur AWS-Schlüssel scannt und analysiert, sondern auch die Fähigkeit besitzt, Schlüssel für Brute-Force-Angriffe zu generieren.

Diese Fähigkeiten machen AndroxGh0st zu einer gewaltigen Bedrohung, die das Herunterladen zusätzlicher Nutzlasten und die Einrichtung eines dauerhaften Zugriffs auf kompromittierte Systeme ermöglicht.

Diese Entwicklung erfolgt kurz nachdem SentinelOne ein Tool namens FBot enthüllt hat, das von Angreifern eingesetzt wird, um in Webserver, Cloud-Dienste, Content-Management-Systeme (CMS) und SaaS-Plattformen einzudringen.