FBI, CISA advarer mot legitimasjonstyveri Androxgh0st Botnet

Penka Hristovska
Oppdatert på: Januar 17, 2024

Hackerne bak Androxgh0st malware lager et botnett som er i stand til å stjele skylegitimasjon fra store plattformer, sa amerikanske cyberbyråer tirsdag.

U.S.Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation (FBI) ga ut en felles rådgivende på funnene fra de pågående undersøkelsene om strategiene brukt av hackerne som bruker skadelig programvare.

Denne skadevare ble først identifisert i desember 2022 av Lacework Labs.

Ifølge byråene bruker hackerne Androxgh0st for å lage et botnett "for identifikasjon av offer og utnyttelse i målnettverk." Botnettet ser etter .env-filer, som nettkriminelle ofte retter seg mot fordi de inneholder legitimasjon og tokens. Byråene sa at disse legitimasjonene er fra "høyprofilapplikasjoner", som Microsoft Office 365, SendGrid, Amazon Web Services og Twilio.

"Androxgh0st malware støtter også en rekke funksjoner som er i stand til å misbruke Simple Mail Transfer Protocol (SMTP), for eksempel skanning og utnyttelse av eksponert legitimasjon og applikasjonsprogrammeringsgrensesnitt (API), og web-shell-distribusjon," forklarte FBI og CISA.

Skadevaren brukes i kampanjer rettet mot å identifisere og målrette nettsider med spesielle sårbarheter. Botnettet bruker Laravel-rammeverket, et verktøy for å utvikle webapplikasjoner, for å søke etter nettsteder. Når den finner nettsidene, prøver hackerne å finne ut om enkelte filer er tilgjengelige og om de inneholder legitimasjon.

CISA og FBIs råd peker på en kritisk og for lenge siden rettet sårbarhet i Laravel, identifisert som CVE-2018-15133, som botnettet utnytter for å få tilgang til legitimasjon, som brukernavn og passord for tjenester som e-post (ved hjelp av SMTP) og AWS-kontoer.

"Hvis trusselaktører får legitimasjon for noen tjenester ... kan de bruke disse legitimasjonene for å få tilgang til sensitive data eller bruke disse tjenestene til å utføre ytterligere ondsinnede operasjoner," heter det i rådet.

«For eksempel, når trusselaktører har lykkes med å identifisere og kompromittere AWS-legitimasjon fra et sårbart nettsted, har de blitt observert forsøke å lage nye brukere og brukerpolicyer. I tillegg har Andoxgh0st-aktører blitt observert opprette nye AWS-forekomster som skal brukes til å utføre ytterligere skanningsaktivitet, forklarer byråene.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/