FBI, CISA advarer mod at stjæle legitimationsoplysninger Androxgh0st Botnet

Penka Hristovska
Opdateret den: Januar 17, 2024

Hackerne bag Androxgh0st-malwaren er ved at skabe et botnet, der er i stand til at stjæle cloud-legitimationsoplysninger fra store platforme, sagde amerikanske cyberbureauer tirsdag.

U.S.A. Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation (FBI) udgav en fælles rådgivende på resultaterne fra de igangværende undersøgelser om de strategier, som hackerne anvender, der bruger malwaren.

Denne malware blev først identificeret i december 2022 af Lacework Labs.

Ifølge agenturerne bruger hackerne Androxgh0st til at skabe et botnet "til identifikation af ofre og udnyttelse i målnetværk." Botnettet leder efter .env-filer, som cyberkriminelle ofte målretter mod, da de indeholder legitimationsoplysninger og tokens. Agenturerne sagde, at disse legitimationsoplysninger er fra "højprofilapplikationer", som Microsoft Office 365, SendGrid, Amazon Web Services og Twilio.

"Androxgh0st malware understøtter også adskillige funktioner, der er i stand til at misbruge Simple Mail Transfer Protocol (SMTP), såsom scanning og udnyttelse af blotlagte legitimationsoplysninger og applikationsprogrammeringsgrænseflader (API'er) og web shell-implementering," forklarede FBI og CISA.

Malwaren bruges i kampagner, der har til formål at identificere og målrette websteder med særlige sårbarheder. Botnettet bruger Laravel-rammeværket, et værktøj til udvikling af webapplikationer, til at søge efter websteder. Når den har fundet webstederne, forsøger hackerne at afgøre, om visse filer er tilgængelige, og om de indeholder legitimationsoplysninger.

CISA og FBIs rådgivning peger på en kritisk og for længst rettet sårbarhed i Laravel, identificeret som CVE-2018-15133, som botnettet udnytter til at få adgang til legitimationsoplysninger, såsom brugernavne og adgangskoder til tjenester som e-mail (ved hjælp af SMTP) og AWS-konti.

"Hvis trusselsaktører opnår legitimationsoplysninger til nogen tjenester ... kan de bruge disse legitimationsoplysninger til at få adgang til følsomme data eller bruge disse tjenester til at udføre yderligere ondsindede operationer," lyder vejledningen.

"For eksempel, når trusselsaktører med succes identificerer og kompromitterer AWS-legitimationsoplysninger fra et sårbart websted, er de blevet observeret i forsøg på at skabe nye brugere og brugerpolitikker. Derudover er Andoxgh0st-aktører blevet observeret, når de laver nye AWS-instanser, der skal bruges til at udføre yderligere scanningsaktivitet,” forklarer agenturerne.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/