FBI, CISA Memperingatkan Terhadap Pencurian Kredensial Botnet Androxgh0st

Penka Hristovska
Diperbarui pada: Januari 17, 2024

Para peretas di balik malware Androxgh0st menciptakan botnet yang mampu mencuri kredensial cloud dari platform-platform besar, kata badan siber AS pada hari Selasa.

Badan Keamanan Siber dan Infrastruktur AS (CISA) dan Biro Investigasi Federal (FBI) merilis sebuah penasihat bersama berdasarkan temuan dari investigasi yang sedang berlangsung tentang strategi yang digunakan oleh peretas yang menggunakan malware.

Malware ini pertama kali diidentifikasi pada Desember 2022 oleh Lacework Labs.

Menurut agensi tersebut, para peretas menggunakan Androxgh0st untuk membuat botnet “untuk identifikasi korban dan eksploitasi di jaringan target.” Botnet mencari file .env, yang sering menjadi target penjahat dunia maya karena berisi kredensial dan token. Agensi mengatakan kredensial ini berasal dari “aplikasi profil tinggi,” seperti Microsoft Office 365, SendGrid, Amazon Web Services, dan Twilio.

“Malware Androxgh0st juga mendukung berbagai fungsi yang mampu menyalahgunakan Simple Mail Transfer Protocol (SMTP), seperti memindai dan mengeksploitasi kredensial yang terbuka dan antarmuka pemrograman aplikasi (API), serta penerapan shell web,” jelas FBI dan CISA.

Malware ini digunakan dalam kampanye yang bertujuan mengidentifikasi dan menargetkan situs web dengan kerentanan tertentu. Botnet menggunakan kerangka Laravel, alat untuk mengembangkan aplikasi web, untuk mencari situs web. Setelah menemukan situs web tersebut, peretas mencoba menentukan apakah file tertentu dapat diakses dan apakah file tersebut mengandung kredensial.

Saran CISA dan FBI menunjukkan kerentanan kritis dan telah lama ditambal di Laravel, yang diidentifikasi sebagai CVE-2018-15133, yang dieksploitasi botnet untuk mengakses kredensial, seperti nama pengguna dan kata sandi untuk layanan seperti email (menggunakan SMTP) dan akun AWS.

“Jika pelaku ancaman mendapatkan kredensial untuk layanan apa pun… mereka mungkin menggunakan kredensial tersebut untuk mengakses data sensitif atau menggunakan layanan ini untuk melakukan operasi berbahaya lainnya,” demikian bunyi peringatan tersebut.

“Misalnya, ketika pelaku ancaman berhasil mengidentifikasi dan menyusupi kredensial AWS dari situs web yang rentan, mereka terlihat berupaya membuat pengguna dan kebijakan pengguna baru. Selain itu, pelaku Andoxgh0st telah diamati membuat instance AWS baru yang digunakan untuk melakukan aktivitas pemindaian tambahan,” jelas agensi tersebut.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/