Le botnet AndroxGh0st apparaît dans le radar de la CISA
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation ont émis un avertissement concernant le déploiement du malware AndroxGh0st par des acteurs malveillants. Ces acteurs créent un botnet dans le but « d'identifier et d'exploiter les victimes dans des réseaux ciblés ».
AndroxGh0st, un malware basé sur Python initialement documenté en décembre 2022, a servi d'inspiration pour la création d'outils similaires tels que AlienFox, GreenBot (également connu sous le nom de Maintance), Legion et Predator.
Cet outil d'attaque cloud est capable d'infiltrer des serveurs présentant des vulnérabilités de sécurité connues, d'accéder aux fichiers de l'environnement Laravel et de lever les informations d'identification d'applications importantes telles que Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio.
AndroxGh0st abuse de plusieurs vulnérabilités
Les attaquants exploitent des vulnérabilités notables telles que CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) et CVE-2018-15133 (Laravel Framework) dans le cadre de leur stratégie d'armement.
Les chercheurs ont souligné qu'AndroxGh0st possède de multiples fonctionnalités facilitant les abus SMTP, notamment l'analyse, l'exploitation des informations d'identification et des API exposées et le déploiement de shells Web. Particulièrement préoccupant pour AWS, le logiciel malveillant non seulement analyse et analyse les clés AWS, mais a également la capacité de générer des clés pour les attaques par force brute.
Ces capacités font d'AndroxGh0st une menace redoutable, permettant le téléchargement de charges utiles supplémentaires et l'établissement d'un accès persistant aux systèmes compromis.
Ce développement intervient peu de temps après que SentinelOne a révélé un outil appelé FBot, utilisé par les attaquants pour pirater les serveurs Web, les services cloud, les systèmes de gestion de contenu (CMS) et les plateformes SaaS.
