AndroxGh0st Botnet verschijnt in de radar van CISA

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation hebben een waarschuwing afgegeven over de inzet van de AndroxGh0st-malware door bedreigingsactoren. Deze actoren richten een botnet op met als doel 'slachtoffers in gerichte netwerken te identificeren en uit te buiten'.

AndroxGh0st, een op Python gebaseerde malware die voor het eerst werd gedocumenteerd in december 2022, heeft als inspiratie gediend voor de creatie van soortgelijke tools zoals AlienFox, GreenBot (ook bekend als Maintance), Legion en Predator.

Deze cloudaanvaltool is bedreven in het infiltreren van servers met bekende beveiligingsproblemen, het verkrijgen van toegang tot Laravel-omgevingsbestanden en het opheffen van inloggegevens voor prominente applicaties zoals Amazon Web Services (AWS), Microsoft Office 365, SendGrid en Twilio.

AndroxGh0st maakt misbruik van verschillende kwetsbaarheden

De aanvallers maken gebruik van opmerkelijke kwetsbaarheden zoals CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) en CVE-2018-15133 (Laravel Framework) als onderdeel van hun bewapeningsstrategie.

Onderzoekers benadrukten dat AndroxGh0st over meerdere functies beschikt die SMTP-misbruik vergemakkelijken, waaronder scannen, misbruik maken van openbaar gemaakte inloggegevens en API's en het inzetten van webshells. Bijzonder zorgwekkend voor AWS is dat de malware niet alleen AWS-sleutels scant en parseert, maar ook de mogelijkheid heeft om sleutels te genereren voor brute-force-aanvallen.

Deze mogelijkheden maken AndroxGh0st tot een formidabele bedreiging, waardoor het downloaden van extra payloads en het tot stand brengen van permanente toegang tot gecompromitteerde systemen mogelijk wordt gemaakt.

Deze ontwikkeling komt kort nadat SentinelOne een tool onthulde genaamd FBot, die door aanvallers wordt gebruikt om webservers, cloudservices, contentmanagementsystemen (CMS) en SaaS-platforms binnen te dringen.