AndroxGh0st ボットネットが CISA のレーダーに出現
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) と連邦捜査局は、脅威アクターによる AndroxGh0st マルウェアの展開に関して警告を発しました。これらの攻撃者は、「標的となったネットワーク内の被害者を特定して悪用する」ことを目的としてボットネットを構築しています。
2022 年 12 月に初めて文書化された Python ベースのマルウェアである AndroxGh0st は、AlienFox、GreenBot (Maintance としても知られる)、Legion、Predator などの同様のツールの作成のインスピレーションとして役立ちました。
このクラウド攻撃ツールは、既知のセキュリティ脆弱性を持つサーバーに侵入し、Laravel 環境ファイルにアクセスし、アマゾン ウェブ サービス (AWS)、Microsoft Office 365、SendGrid、Twilio などの著名なアプリケーションの認証情報を解除することに長けています。
AndroxGh0st はいくつかの脆弱性を悪用します
攻撃者は、武器化戦略の一環として、CVE-2017-9841 (PHPUnit)、CVE-2021-41773 (Apache HTTP Server)、CVE-2018-15133 (Laravel Framework) などの注目すべき脆弱性を利用します。
研究者らは、AndroxGh0st には、スキャン、公開された資格情報や API の悪用、Web シェルの展開など、SMTP の悪用を促進する複数の機能があることを強調しました。特に AWS に関しては、このマルウェアは AWS キーをスキャンして解析するだけでなく、ブルートフォース攻撃用のキーを生成する機能も備えています。
これらの機能により、AndroxGh0st は強力な脅威となり、追加のペイロードのダウンロードや侵害されたシステムへの永続的なアクセスの確立が可能になります。
この開発は、Web サーバー、クラウド サービス、コンテンツ管理システム (CMS)、および SaaS プラットフォームを侵害するために攻撃者によって使用される FBot と呼ばれるツールを SentinelOne が公開した直後に行われました。