La botnet AndroxGh0st entra nel radar del CISA

La Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation degli Stati Uniti hanno emesso un avvertimento riguardante la diffusione del malware AndroxGh0st da parte di autori di minacce. Questi attori stanno creando una botnet con lo scopo di "identificare e sfruttare le vittime nelle reti mirate".

AndroxGh0st, un malware basato su Python inizialmente documentato nel dicembre 2022, è servito da ispirazione per la creazione di strumenti simili come AlienFox, GreenBot (noto anche come Maintance), Legion e Predator.

Questo strumento di attacco cloud è abile nell'infiltrarsi in server con vulnerabilità di sicurezza note, ottenere l'accesso ai file dell'ambiente Laravel e rubare credenziali per applicazioni importanti come Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.

AndroxGh0st abusa di diverse vulnerabilità

Gli aggressori sfruttano notevoli vulnerabilità come CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) e CVE-2018-15133 (Laravel Framework) come parte della loro strategia di armamento.

I ricercatori hanno sottolineato che AndroxGh0st possiede molteplici funzionalità che facilitano l'abuso di SMTP, tra cui la scansione, lo sfruttamento di credenziali e API esposte e l'implementazione di web shell. Particolarmente preoccupante per AWS, il malware non solo scansiona e analizza le chiavi AWS, ma ha anche la capacità di generare chiavi per attacchi di forza bruta.

Queste funzionalità rendono AndroxGh0st una minaccia formidabile, consentendo il download di payload aggiuntivi e la creazione di un accesso persistente ai sistemi compromessi.

Questo sviluppo arriva poco dopo che SentinelOne ha rivelato uno strumento chiamato FBot, utilizzato dagli aggressori per violare server web, servizi cloud, sistemi di gestione dei contenuti (CMS) e piattaforme SaaS.