FBI, CISA varnar för att stjäla legitimationsuppgifter Androxgh0st Botnet

Penka Hristovska
Uppdaterad på: Januari 17, 2024

Hackarna bakom skadlig programvara Androxgh0st skapar ett botnät som kan stjäla molnuppgifter från stora plattformar, sade amerikanska cyberbyråer på tisdagen.

U.S.A. Cybersecurity and Infrastructure Security Agency (CISA) och Federal Bureau of Investigation (FBI) släppte en gemensam rådgivande på resultaten från de pågående utredningarna om de strategier som används av hackare som använder skadlig programvara.

Denna skadliga programvara identifierades först i december 2022 av Lacework Labs.

Enligt byråerna använder hackarna Androxgh0st för att skapa ett botnät "för identifiering och utnyttjande av offer i målnätverk." Botnätet letar efter .env-filer, som cyberbrottslingar ofta riktar sig mot eftersom de innehåller referenser och tokens. Byråerna sa att dessa referenser kommer från "högprofilapplikationer", som Microsoft Office 365, SendGrid, Amazon Web Services och Twilio.

"Androxgh0st skadlig kod stöder också många funktioner som kan missbruka Simple Mail Transfer Protocol (SMTP), som att skanna och utnyttja exponerade referenser och applikationsprogrammeringsgränssnitt (API) och webbskalsinstallation", förklarade FBI och CISA.

Skadlig programvara används i kampanjer som syftar till att identifiera och rikta in webbplatser med särskilda sårbarheter. Botnätet använder Laravel-ramverket, ett verktyg för att utveckla webbapplikationer, för att söka efter webbplatser. När den väl hittar webbplatserna försöker hackarna avgöra om vissa filer är tillgängliga och om de innehåller referenser.

CISA och FBI:s råd pekar på en kritisk och sedan länge korrigerad sårbarhet i Laravel, identifierad som CVE-2018-15133, som botnätet utnyttjar för att komma åt referenser, som användarnamn och lösenord för tjänster som e-post (med SMTP) och AWS-konton.

"Om hotaktörer skaffar autentiseringsuppgifter för någon tjänst ... kan de använda dessa uppgifter för att komma åt känsliga data eller använda dessa tjänster för att utföra ytterligare skadliga operationer", står det i rekommendationen.

"Till exempel, när hotaktörer framgångsrikt identifierar och äventyrar AWS-referenser från en sårbar webbplats, har de observerats försöka skapa nya användare och användarpolicyer. Dessutom har Andoxgh0st-aktörer observerats skapa nya AWS-instanser att använda för att utföra ytterligare skanningsaktivitet”, förklarar byråerna.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/