FBI und CISA warnen vor Androxgh0st-Botnet, das Zugangsdaten stiehlt

Penka Hristovska
Aktualisiert am: 17. Januar 2024

Die Hacker hinter der Androxgh0st-Malware bauen ein Botnetz auf, das in der Lage ist, Cloud-Anmeldeinformationen von großen Plattformen zu stehlen, sagten US-Cyberbehörden am Dienstag.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben eine veröffentlicht gemeinsame Beratung über die Erkenntnisse aus den laufenden Untersuchungen zu den Strategien der Hacker, die die Schadsoftware einsetzen.

Diese Malware wurde erstmals im Dezember 2022 von Lacework Labs identifiziert.

Nach Angaben der Behörden nutzen die Hacker Androxgh0st, um ein Botnetz „zur Identifizierung und Ausbeutung von Opfern in Zielnetzwerken“ zu erstellen. Das Botnetz sucht nach .env-Dateien, auf die Cyberkriminelle häufig abzielen, da sie Anmeldeinformationen und Token enthalten. Die Behörden gaben an, dass diese Anmeldeinformationen von „hochkarätigen Anwendungen“ wie Microsoft Office 365, SendGrid, Amazon Web Services und Twilio stammen.

„Androxgh0st-Malware unterstützt auch zahlreiche Funktionen, die das Simple Mail Transfer Protocol (SMTP) missbrauchen können, wie das Scannen und Ausnutzen offengelegter Anmeldeinformationen und Anwendungsprogrammierschnittstellen (APIs) sowie die Bereitstellung von Web-Shells“, erklärten das FBI und die CISA.

Die Malware wird in Kampagnen eingesetzt, die darauf abzielen, Websites mit besonderen Schwachstellen zu identifizieren und gezielt anzugreifen. Für die Suche nach Websites nutzt das Botnetz das Laravel-Framework, ein Tool zur Entwicklung von Webanwendungen. Sobald die Websites gefunden sind, versuchen die Hacker festzustellen, ob auf bestimmte Dateien zugegriffen werden kann und ob sie Anmeldeinformationen enthalten.

Die Empfehlung von CISA und FBI weist auf eine kritische und seit langem gepatchte Schwachstelle in Laravel mit der Bezeichnung CVE-2018-15133 hin, die das Botnetz ausnutzt, um auf Anmeldeinformationen wie Benutzernamen und Passwörter für Dienste wie E-Mail (über SMTP) und AWS-Konten zuzugreifen.

„Wenn Bedrohungsakteure Zugangsdaten für irgendwelche Dienste erhalten … könnten sie diese Zugangsdaten verwenden, um auf sensible Daten zuzugreifen oder diese Dienste nutzen, um weitere böswillige Operationen durchzuführen“, heißt es in der Empfehlung.

„Wenn Bedrohungsakteure beispielsweise erfolgreich AWS-Anmeldeinformationen von einer anfälligen Website identifizieren und kompromittieren, wurde beobachtet, wie sie versuchten, neue Benutzer und Benutzerrichtlinien zu erstellen. Darüber hinaus wurde beobachtet, dass Andoxgh0st-Akteure neue AWS-Instanzen für die Durchführung zusätzlicher Scan-Aktivitäten erstellen“, erklären die Behörden.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/