AndroxGh0st Botnet kommer opp i CISAs radar

US Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation har utstedt en advarsel angående distribusjon av AndroxGh0st malware av trusselaktører. Disse aktørene etablerer et botnett med det formål å «identifisere og utnytte ofre i målrettede nettverk».

AndroxGh0st, en Python-basert skadelig programvare som opprinnelig ble dokumentert i desember 2022, har fungert som inspirasjon for å lage lignende verktøy som AlienFox, GreenBot (også kjent som Maintance), Legion og Predator.

Dette skyangrepsverktøyet er dyktig til å infiltrere servere med kjente sikkerhetssårbarheter, få tilgang til Laravel-miljøfiler og løfte legitimasjon for fremtredende applikasjoner som Amazon Web Services (AWS), Microsoft Office 365, SendGrid og Twilio.

AndroxGh0st misbruker flere sårbarheter

Angriperne utnytter bemerkelsesverdige sårbarheter som CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) og CVE-2018-15133 (Laravel Framework) som en del av våpenstrategien deres.

Forskere understreket at AndroxGh0st har flere funksjoner som letter SMTP-misbruk, inkludert skanning, utnyttelse av eksponert legitimasjon og APIer og distribusjon av web-skall. Spesielt angående AWS, skadelig programvare skanner og analyserer AWS-nøkler, men har også muligheten til å generere nøkler for brute-force-angrep.

Disse egenskapene gjør AndroxGh0st til en formidabel trussel, som muliggjør nedlasting av ekstra nyttelast og etablering av vedvarende tilgang til kompromitterte systemer.

Denne utviklingen kommer kort tid etter at SentinelOne avslørte et verktøy kalt FBot, brukt av angripere for å bryte nettservere, skytjenester, innholdsstyringssystemer (CMS) og SaaS-plattformer.