ФБР и CISA предупреждают о краже учетных данных ботнетом Androxgh0st

Пенка Христовска
Обновление: 17 января 2024

Хакеры, стоящие за вредоносным ПО Androxgh0st, создают ботнет, способный красть облачные учетные данные с основных платформ, сообщили во вторник киберагентства США.

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) опубликовали совместное консультирование о результатах продолжающегося расследования стратегий хакеров, использующих вредоносное ПО.

Впервые это вредоносное ПО было обнаружено в декабре 2022 года компанией Lacework Labs.

По данным агентств, хакеры используют Androxgh0st для создания ботнета «для идентификации жертв и эксплуатации в целевых сетях». Ботнет ищет файлы .env, на которые часто нацелены киберпреступники, поскольку они содержат учетные данные и токены. Агентства заявили, что эти учетные данные взяты из «высокопрофильных приложений», таких как Microsoft Office 365, SendGrid, Amazon Web Services и Twilio.

«Вредоносное ПО Androxgh0st также поддерживает множество функций, способных злоупотреблять протоколом SMTP, таких как сканирование и использование открытых учетных данных и интерфейсов прикладного программирования (API), а также развертывание веб-оболочки», — пояснили в ФБР и CISA.

Вредоносное ПО используется в кампаниях, направленных на выявление и нацеливание на веб-сайты с определенными уязвимостями. Для поиска веб-сайтов ботнет использует фреймворк Laravel — инструмент для разработки веб-приложений. Найдя веб-сайты, хакеры пытаются определить, доступны ли определенные файлы и содержат ли они учетные данные.

Рекомендации CISA и ФБР указывают на критическую и давно исправленную уязвимость в Laravel, идентифицированную как CVE-2018-15133, которую ботнет использует для доступа к учетным данным, таким как имена пользователей и пароли, для таких сервисов, как электронная почта (с использованием SMTP) и учетных записей AWS.

«Если злоумышленники получат учетные данные для каких-либо служб… они могут использовать эти учетные данные для доступа к конфиденциальным данным или использовать эти службы для проведения дополнительных вредоносных операций», — говорится в сообщении.

«Например, когда злоумышленники успешно идентифицируют и компрометируют учетные данные AWS с уязвимого веб-сайта, они пытаются создать новых пользователей и пользовательские политики. Кроме того, было замечено, что злоумышленники Andoxgh0st создают новые экземпляры AWS для проведения дополнительных операций сканирования», — поясняют агентства.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/