La botnet AndroxGh0st aparece en el radar de CISA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones han emitido una advertencia sobre la implementación del malware AndroxGh0st por parte de actores de amenazas. Estos actores están creando una botnet con el fin de "identificar y explotar a las víctimas en redes específicas".

AndroxGh0st, un malware basado en Python documentado inicialmente en diciembre de 2022, ha servido de inspiración para la creación de herramientas similares como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator.

Esta herramienta de ataque en la nube es competente para infiltrarse en servidores con vulnerabilidades de seguridad conocidas, obtener acceso a archivos del entorno Laravel y obtener credenciales para aplicaciones destacadas como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio.

AndroxGh0st abusa de varias vulnerabilidades

Los atacantes aprovechan vulnerabilidades notables como CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Laravel Framework) como parte de su estrategia de armamento.

Los investigadores enfatizaron que AndroxGh0st posee múltiples características que facilitan el abuso de SMTP, incluido el escaneo, la explotación de credenciales y API expuestas y la implementación de shells web. Particularmente preocupante para AWS, el malware no solo escanea y analiza las claves de AWS, sino que también tiene la capacidad de generar claves para ataques de fuerza bruta.

Estas capacidades convierten a AndroxGh0st en una amenaza formidable, ya que permiten la descarga de cargas útiles adicionales y el establecimiento de acceso persistente a sistemas comprometidos.

Este desarrollo se produce poco después de que SentinelOne revelara una herramienta llamada FBot, empleada por atacantes para violar servidores web, servicios en la nube, sistemas de gestión de contenido (CMS) y plataformas SaaS.