Az AndroxGh0st botnet megjelenik a CISA radarjában

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és a Szövetségi Nyomozóiroda figyelmeztetést adott ki az AndroxGh0st kártevő fenyegető szereplők általi telepítése miatt. Ezek a szereplők botnetet hoznak létre azzal a céllal, hogy „a célzott hálózatokban azonosítsák és kizsákmányolják az áldozatokat”.

Az AndroxGh0st, egy Python-alapú rosszindulatú program, amelyet eredetileg 2022 decemberében dokumentáltak, inspirációként szolgált az olyan hasonló eszközök létrehozásához, mint az AlienFox, a GreenBot (más néven Maintance), a Legion és a Predator.

Ez a felhőalapú támadási eszköz jártas az ismert biztonsági résekkel rendelkező szerverek behatolásában, a Laravel-környezeti fájlokhoz való hozzáférésben, valamint az olyan kiemelkedő alkalmazások hitelesítő adatainak megszerzésében, mint az Amazon Web Services (AWS), a Microsoft Office 365, a SendGrid és a Twilio.

Az AndroxGh0st számos sérülékenységgel él vissza

A támadók fegyverkezési stratégiájuk részeként olyan figyelemre méltó sebezhetőségeket használnak fel, mint a CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) és CVE-2018-15133 (Laravel Framework).

A kutatók hangsúlyozták, hogy az AndroxGh0st számos olyan funkcióval rendelkezik, amelyek megkönnyítik az SMTP-vel való visszaélést, beleértve a szkennelést, a hozzáférhető hitelesítő adatok és API-k kihasználását, valamint a webhéjak telepítését. Különösen az AWS esetében a rosszindulatú program nemcsak az AWS-kulcsokat vizsgálja és elemzi, hanem képes kulcsokat generálni a brute-force támadásokhoz.

Ezek a képességek hatalmas fenyegetést jelentenek az AndroxGh0st számára, lehetővé téve további rakományok letöltését és folyamatos hozzáférést a feltört rendszerekhez.

Ez a fejlesztés nem sokkal azután történt, hogy a SentinelOne felfedte az FBot nevű eszközt, amelyet a támadók webszerverek, felhőszolgáltatások, tartalomkezelő rendszerek (CMS) és SaaS platformok feltörésére használnak.