AndroxGh0st Botnet kommer upp i CISA:s radar

US Cybersecurity and Infrastructure Security Agency (CISA) och Federal Bureau of Investigation har utfärdat en varning angående spridningen av skadlig programvara AndroxGh0st av hotaktörer. Dessa aktörer etablerar ett botnät i syfte att "identifiera och utnyttja offer i riktade nätverk."

AndroxGh0st, en Python-baserad skadlig programvara som ursprungligen dokumenterades i december 2022, har tjänat som inspiration för skapandet av liknande verktyg som AlienFox, GreenBot (även känd som Maintance), Legion och Predator.

Detta molnattackverktyg är skickligt på att infiltrera servrar med kända säkerhetsbrister, få åtkomst till Laravel-miljöfiler och lyfta inloggningsuppgifter för framstående applikationer som Amazon Web Services (AWS), Microsoft Office 365, SendGrid och Twilio.

AndroxGh0st missbrukar flera sårbarheter

Angriparna utnyttjar anmärkningsvärda sårbarheter som CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) och CVE-2018-15133 (Laravel Framework) som en del av deras vapenstrategi.

Forskare betonade att AndroxGh0st har flera funktioner som underlättar SMTP-missbruk, inklusive skanning, utnyttjande av exponerade referenser och API:er och distribution av webbskal. Särskilt när det gäller AWS, skadlig programvara inte bara skannar och analyserar AWS-nycklar utan har också förmågan att generera nycklar för brute-force-attacker.

Dessa funktioner gör AndroxGh0st till ett formidabelt hot, vilket möjliggör nedladdning av ytterligare nyttolaster och etablering av beständig åtkomst till komprometterade system.

Denna utveckling kommer kort efter att SentinelOne avslöjade ett verktyg som heter FBot, använt av angripare för att bryta mot webbservrar, molntjänster, innehållshanteringssystem (CMS) och SaaS-plattformar.