FBI și CISA avertizează împotriva furtului de acreditări Androxgh0st Botnet

Penka Hristovska
Actualizat la: Ianuarie 17, 2024

Hackerii din spatele malware-ului Androxgh0st creează un botnet capabil să fure acreditările cloud de pe platformele majore, au declarat marți agențiile cibernetice din SUA.

Agenția de Securitate Cibernetică și Securitate a Infrastructurii din SUA (CISA) și Biroul Federal de Investigații (FBI) au lansat un consultativ comun cu privire la constatările din investigațiile în desfășurare cu privire la strategiile folosite de hackeri care utilizează malware.

Acest malware a fost identificat pentru prima dată în decembrie 2022 de către Lacework Labs.

Potrivit agențiilor, hackerii folosesc Androxgh0st pentru a crea o rețea bot „pentru identificarea și exploatarea victimelor în rețelele țintă”. Rețeaua botnet caută fișiere .env, pe care infractorii cibernetici le vizează adesea deoarece conțin acreditări și token-uri. Agențiile au spus că aceste acreditări provin de la „aplicații de profil înalt”, cum ar fi Microsoft Office 365, SendGrid, Amazon Web Services și Twilio.

„Malware-ul Androxgh0st acceptă, de asemenea, numeroase funcții capabile să abuzeze de protocolul SMTP (Simple Mail Transfer Protocol), cum ar fi scanarea și exploatarea acreditărilor expuse și a interfețelor de programare a aplicațiilor (API) și implementarea shell-ului web”, au explicat FBI și CISA.

Malware-ul este utilizat în campanii care vizează identificarea și țintirea site-urilor web cu vulnerabilități speciale. Botnet-ul folosește framework-ul Laravel, un instrument de dezvoltare a aplicațiilor web, pentru a căuta site-uri web. Odată ce găsește site-urile web, hackerii încearcă să stabilească dacă anumite fișiere sunt accesibile și dacă acestea conțin acreditări.

Avizul CISA și FBI indică o vulnerabilitate critică și corectată de mult timp în Laravel, identificată ca CVE-2018-15133, pe care botnet-ul o exploatează pentru a accesa acreditările, cum ar fi numele de utilizator și parolele pentru servicii precum e-mail (folosind SMTP) și conturi AWS.

„Dacă actorii amenințărilor obțin acreditări pentru orice serviciu... ei pot folosi aceste acreditări pentru a accesa date sensibile sau pot folosi aceste servicii pentru a efectua operațiuni rău intenționate suplimentare”, se arată în aviz.

„De exemplu, atunci când actorii amenințărilor identifică și compromit cu succes acreditările AWS de pe un site web vulnerabil, au fost observați încercând să creeze noi utilizatori și politici pentru utilizatori. În plus, actorii Andoxgh0st au fost observați creând noi instanțe AWS pentru a le utiliza pentru a desfășura activități suplimentare de scanare”, explică agențiile.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/