FBI, CISA varoittaa valtuustietojen varastamisesta Androxgh0st Botnetistä

Penka Hristovska
Päivitetty: Tammikuu 17, 2024

Androxgh0st-haittaohjelman takana olevat hakkerit ovat luomassa botnet-verkkoa, joka pystyy varastamaan pilvitunnistetiedot suurilta alustoilta, Yhdysvaltain kybervirastot sanoivat tiistaina.

Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) ja Federal Bureau of Investigation (FBI) julkaisivat yhteinen neuvonta käynnissä olevien tutkimusten tuloksista haittaohjelmia käyttävien hakkereiden käyttämistä strategioista.

Lacework Labs tunnisti tämän haittaohjelman ensimmäisen kerran joulukuussa 2022.

Virastojen mukaan hakkerit käyttävät Androxgh0st-verkkoa luodakseen botnetin "uhrien tunnistamiseen ja hyväksikäyttöön kohdeverkoissa". Bottiverkko etsii .env-tiedostoja, joihin kyberrikolliset usein kohdistuvat, koska ne sisältävät valtuustietoja ja tunnuksia. Virastojen mukaan nämä tunnistetiedot ovat peräisin "korkean profiilin sovelluksista", kuten Microsoft Office 365, SendGrid, Amazon Web Services ja Twilio.

"Androxgh0st-haittaohjelma tukee myös lukuisia toimintoja, jotka voivat väärinkäyttää Simple Mail Transfer Protocol (SMTP) -protokollaa, kuten paljastuneiden valtuustietojen ja sovellusohjelmointirajapintojen (API:t) skannaamista ja hyödyntämistä sekä web shellin käyttöönottoa", FBI ja CISA selittivät.

Haittaohjelmaa käytetään kampanjoissa, joiden tarkoituksena on tunnistaa ja kohdistaa verkkosivustoja, joilla on tiettyjä haavoittuvuuksia. Bottiverkko käyttää Web-sovellusten kehittämiseen tarkoitettua Laravel-kehystä verkkosivustojen etsimiseen. Kun se löytää verkkosivustot, hakkerit yrittävät määrittää, ovatko tietyt tiedostot käytettävissä ja sisältävätkö ne valtuustietoja.

CISA:n ja FBI:n neuvot viittaavat Laravelin kriittiseen ja kauan sitten korjattuun haavoittuvuuteen, joka on tunnistettu nimellä CVE-2018-15133, jota botnet hyödyntää päästäkseen käsiksi tunnistetietoihin, kuten käyttäjätunnuksiin ja salasanoihin palveluissa, kuten sähköpostissa (käyttäen SMTP:tä) ja AWS-tilejä.

"Jos uhkatekijät hankkivat valtuustietoja joillekin palveluille … he voivat käyttää näitä valtuustietoja päästäkseen käsiksi arkaluontoisiin tietoihin tai käyttää näitä palveluita ylimääräisten haitallisten toimintojen suorittamiseen", neuvolassa sanotaan.

"Esimerkiksi kun uhkatoimijat onnistuvat tunnistamaan ja vaarantamaan AWS-tunnistetiedot haavoittuvalta verkkosivustolta, heidän on havaittu yrittävän luoda uusia käyttäjiä ja käyttäjäkäytäntöjä. Lisäksi Andoxgh0st-toimijoiden on havaittu luovan uusia AWS-esiintymiä lisäskannaustoimintojen suorittamiseen”, virastot selittävät.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/