Ботнет AndroxGh0st появился в поле зрения CISA

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований выпустили предупреждение относительно развертывания зловреда AndroxGh0st злоумышленниками. Эти субъекты создают ботнет с целью «идентификации и использования жертв в целевых сетях».

AndroxGh0st, вредоносное ПО на базе Python, первоначально задокументированное в декабре 2022 года, послужило вдохновением для создания аналогичных инструментов, таких как AlienFox, GreenBot (также известный как Maintance), Legion и Predator.

Этот инструмент облачных атак способен проникать на серверы с известными уязвимостями безопасности, получать доступ к файлам среды Laravel и получать учетные данные для таких известных приложений, как Amazon Web Services (AWS), Microsoft Office 365, SendGrid и Twilio.

AndroxGh0st злоупотребляет несколькими уязвимостями

Злоумышленники используют заметные уязвимости, такие как CVE-2017-9841 (PHPUnit), CVE-2021-41773 (HTTP-сервер Apache) и CVE-2018-15133 (Laravel Framework), в рамках своей стратегии вооружения.

Исследователи подчеркнули, что AndroxGh0st обладает множеством функций, способствующих злоупотреблению SMTP, включая сканирование, использование открытых учетных данных и API, а также развертывание веб-оболочек. Что особенно важно для AWS, вредоносная программа не только сканирует и анализирует ключи AWS, но также способна генерировать ключи для атак методом перебора.

Эти возможности делают AndroxGh0st серьезной угрозой, позволяя загружать дополнительные полезные данные и устанавливать постоянный доступ к скомпрометированным системам.

Эта разработка произошла вскоре после того, как SentinelOne представила инструмент под названием FBot, используемый злоумышленниками для взлома веб-серверов, облачных сервисов, систем управления контентом (CMS) и платформ SaaS.