„AndroxGh0st Botnet“ pasirodo CISA radare

JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) ir Federalinis tyrimų biuras paskelbė įspėjimą dėl „AndroxGh0st“ kenkėjiškų programų, kurias skleidžia grėsmės veikėjai. Šie veikėjai kuria robotų tinklą, siekdami „nustatyti ir išnaudoti aukas tiksliniuose tinkluose“.

„AndroxGh0st“, „Python“ pagrindu sukurta kenkėjiška programa, iš pradžių dokumentuota 2022 m. gruodžio mėn., įkvėpė kurti panašius įrankius, tokius kaip „AlienFox“, „GreenBot“ (taip pat žinomas kaip priežiūra), „Legion“ ir „Predator“.

Šis debesies atakos įrankis puikiai gali įsiskverbti į serverius, kuriuose yra žinomų saugos spragų, gauti prieigą prie „Laravel“ aplinkos failų ir pakelti svarbių programų, tokių kaip „Amazon Web Services“ (AWS), „Microsoft Office 365“, „SendGrid“ ir „Twilio“, kredencialus.

AndroxGh0st piktnaudžiauja keliomis pažeidžiamomis vietomis

Užpuolikai, vykdydami ginklavimosi strategiją, naudoja tokias žymias spragas kaip CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP serveris) ir CVE-2018-15133 (Laravel Framework).

Tyrėjai pabrėžė, kad AndroxGh0st turi daug funkcijų, palengvinančių piktnaudžiavimą SMTP, įskaitant nuskaitymą, atskleistų kredencialų ir API naudojimą bei žiniatinklio apvalkalų diegimą. Ypač kalbant apie AWS, kenkėjiška programa ne tik nuskaito ir analizuoja AWS raktus, bet ir turi galimybę generuoti raktus žiaurioms atakoms.

Dėl šių galimybių AndroxGh0st yra didžiulė grėsmė, leidžianti atsisiųsti papildomus naudingus krovinius ir sukurti nuolatinę prieigą prie pažeistų sistemų.

Ši plėtra įvyko netrukus po to, kai „SentinelOne“ atskleidė įrankį „FBot“, kurį užpuolikai naudoja siekdami pažeisti žiniatinklio serverius, debesies paslaugas, turinio valdymo sistemas (TVS) ir „SaaS“ platformas.