Το AndroxGh0st Botnet εμφανίζεται στο ραντάρ της CISA
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και το Ομοσπονδιακό Γραφείο Ερευνών εξέδωσαν προειδοποίηση σχετικά με την ανάπτυξη του κακόβουλου λογισμικού AndroxGh0st από παράγοντες απειλών. Αυτοί οι παράγοντες δημιουργούν ένα botnet με σκοπό την «αναγνώριση και εκμετάλλευση των θυμάτων σε στοχευμένα δίκτυα».
Το AndroxGh0st, ένα κακόβουλο λογισμικό βασισμένο στην Python που τεκμηριώθηκε αρχικά τον Δεκέμβριο του 2022, έχει χρησιμεύσει ως έμπνευση για τη δημιουργία παρόμοιων εργαλείων όπως το AlienFox, το GreenBot (γνωστό και ως Maintance), το Legion και το Predator.
Αυτό το εργαλείο επίθεσης cloud είναι ικανό να διεισδύσει σε διακομιστές με γνωστά τρωτά σημεία ασφαλείας, να αποκτήσει πρόσβαση σε αρχεία περιβάλλοντος Laravel και να ανυψώσει διαπιστευτήρια για εξέχουσες εφαρμογές όπως το Amazon Web Services (AWS), το Microsoft Office 365, το SendGrid και το Twilio.
Το AndroxGh0st καταχράται αρκετά τρωτά σημεία
Οι εισβολείς αξιοποιούν αξιοσημείωτα τρωτά σημεία όπως CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Διακομιστής HTTP Apache) και CVE-2018-15133 (Laravel Framework) ως μέρος της στρατηγικής οπλισμού τους.
Οι ερευνητές τόνισαν ότι το AndroxGh0st διαθέτει πολλαπλά χαρακτηριστικά που διευκολύνουν την κατάχρηση SMTP, συμπεριλαμβανομένης της σάρωσης, της εκμετάλλευσης εκτεθειμένων διαπιστευτηρίων και των API και της ανάπτυξης κελύφους ιστού. Ιδιαίτερα όσον αφορά το AWS, το κακόβουλο λογισμικό όχι μόνο σαρώνει και αναλύει τα κλειδιά AWS αλλά έχει επίσης τη δυνατότητα να δημιουργεί κλειδιά για επιθέσεις ωμής βίας.
Αυτές οι δυνατότητες καθιστούν το AndroxGh0st μια τρομερή απειλή, επιτρέποντας τη λήψη πρόσθετων ωφέλιμων φορτίων και τη δημιουργία μόνιμης πρόσβασης σε παραβιασμένα συστήματα.
Αυτή η εξέλιξη έρχεται λίγο αφότου η SentinelOne αποκάλυψε ένα εργαλείο που ονομάζεται FBot, το οποίο χρησιμοποιούν οι εισβολείς για να παραβιάζουν διακομιστές ιστού, υπηρεσίες cloud, συστήματα διαχείρισης περιεχομένου (CMS) και πλατφόρμες SaaS.
