Botnet AndroxGh0st pojawia się na radarze CISA

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oraz Federalne Biuro Śledcze wydały ostrzeżenie dotyczące wdrażania złośliwego oprogramowania AndroxGh0st przez podmioty zagrażające. Podmioty te tworzą botnet w celu „identyfikacji i wykorzystywania ofiar w docelowych sieciach”.

AndroxGh0st, szkodliwe oprogramowanie oparte na języku Python, które zostało pierwotnie udokumentowane w grudniu 2022 r., posłużyło jako inspiracja do stworzenia podobnych narzędzi, takich jak AlienFox, GreenBot (znany również jako Maintance), Legion i Predator.

To narzędzie do ataków w chmurze jest skuteczne w infiltrowaniu serwerów ze znanymi lukami w zabezpieczeniach, uzyskiwaniu dostępu do plików środowiska Laravel i podnoszeniu danych uwierzytelniających dla znanych aplikacji, takich jak Amazon Web Services (AWS), Microsoft Office 365, SendGrid i Twilio.

AndroxGh0st wykorzystuje kilka luk w zabezpieczeniach

Napastnicy wykorzystują znaczące luki, takie jak CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) i CVE-2018-15133 (Laravel Framework) w ramach swojej strategii zbrojenia.

Badacze podkreślili, że AndroxGh0st posiada wiele funkcji ułatwiających nadużycia SMTP, w tym skanowanie, wykorzystywanie ujawnionych danych uwierzytelniających i interfejsów API oraz wdrażanie powłok internetowych. Co szczególnie dotyczy AWS, złośliwe oprogramowanie nie tylko skanuje i analizuje klucze AWS, ale ma także możliwość generowania kluczy na potrzeby ataków typu brute-force.

Te możliwości sprawiają, że AndroxGh0st stanowi ogromne zagrożenie, umożliwiając pobieranie dodatkowych ładunków i ustanawianie stałego dostępu do zaatakowanych systemów.

Rozwój ten nastąpił wkrótce po ujawnieniu przez SentinelOne narzędzia o nazwie FBot, wykorzystywanego przez atakujących do włamywania się do serwerów internetowych, usług w chmurze, systemów zarządzania treścią (CMS) i platform SaaS.