Botnet AndroxGh0st surge no radar da CISA

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Federal Bureau of Investigation emitiram um alerta sobre a implantação do malware AndroxGh0st por agentes de ameaças. Estes actores estão a criar uma botnet com o objectivo de “identificar e explorar vítimas em redes específicas”.

AndroxGh0st, um malware baseado em Python documentado inicialmente em dezembro de 2022, serviu de inspiração para a criação de ferramentas semelhantes, como AlienFox, GreenBot (também conhecido como Maintance), Legion e Predator.

Esta ferramenta de ataque à nuvem é proficiente em infiltrar servidores com vulnerabilidades de segurança conhecidas, obter acesso a arquivos do ambiente Laravel e levantar credenciais para aplicativos importantes como Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.

AndroxGh0st abusa de várias vulnerabilidades

Os invasores aproveitam vulnerabilidades notáveis como CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) e CVE-2018-15133 (Laravel Framework) como parte de sua estratégia de armamento.

Os pesquisadores enfatizaram que o AndroxGh0st possui vários recursos que facilitam o abuso de SMTP, incluindo varredura, exploração de credenciais e APIs expostas e implantação de web shells. Particularmente preocupante para a AWS, o malware não apenas verifica e analisa chaves da AWS, mas também tem a capacidade de gerar chaves para ataques de força bruta.

Esses recursos tornam o AndroxGh0st uma ameaça formidável, permitindo o download de cargas adicionais e o estabelecimento de acesso persistente a sistemas comprometidos.

Este desenvolvimento ocorre logo depois que o SentinelOne revelou uma ferramenta chamada FBot, empregada por invasores para violar servidores web, serviços em nuvem, sistemas de gerenciamento de conteúdo (CMS) e plataformas SaaS.