ФБР, CISA застерігають від крадіжки облікових даних у ботнеті Androxgh0st

Пенка Христовська
Оновлено: Січень 17, 2024

Хакери, що стоять за зловмисним програмним забезпеченням Androxgh0st, створюють ботнет, здатний викрадати облікові дані хмари з основних платформ, повідомили у вівторок кіберагентства США.

Агентство з кібербезпеки та безпеки інфраструктури США (CISA) і Федеральне бюро розслідувань (ФБР) випустили спільна консультація на висновках поточних розслідувань щодо стратегій, які використовували хакери, використовуючи зловмисне програмне забезпечення.

Цю зловмисну ​​програму вперше виявила Lacework Labs у грудні 2022 року.

За даними агентств, хакери використовують Androxgh0st для створення ботнету «для ідентифікації жертв і експлуатації в цільових мережах». Ботнет шукає файли .env, на які кіберзлочинці часто орієнтуються, оскільки вони містять облікові дані та токени. Агентства заявили, що ці облікові дані походять із «високопрофільних програм», таких як Microsoft Office 365, SendGrid, Amazon Web Services і Twilio.

«Зловмисне програмне забезпечення Androxgh0st також підтримує численні функції, здатні зловживати простим протоколом передачі пошти (SMTP), такі як сканування та використання відкритих облікових даних та інтерфейсів програмування додатків (API), а також розгортання веб-оболонки», — пояснили ФБР і CISA.

Зловмисне програмне забезпечення використовується в кампаніях, спрямованих на виявлення та націлювання на веб-сайти з певними вразливими місцями. Ботнет використовує фреймворк Laravel, інструмент для розробки веб-додатків, для пошуку веб-сайтів. Знайшовши веб-сайти, хакери намагаються визначити, чи доступні певні файли та чи містять вони облікові дані.

Повідомлення CISA та ФБР вказують на критичну та давно виправлену вразливість у Laravel, визначену як CVE-2018-15133, яку ботнет використовує для доступу до облікових даних, таких як імена користувачів і паролі для таких служб, як електронна пошта (за допомогою SMTP) і облікові записи AWS.

«Якщо зловмисники отримують облікові дані для будь-яких служб... вони можуть використовувати ці облікові дані для доступу до конфіденційних даних або використовувати ці служби для виконання додаткових зловмисних операцій», — йдеться в повідомленні.

«Наприклад, коли зловмисники успішно ідентифікують і скомпрометують облікові дані AWS на вразливому веб-сайті, вони намагаються створити нових користувачів і правила для користувачів. Крім того, було помічено, що актори Andoxgh0st створюють нові екземпляри AWS, щоб використовувати їх для проведення додаткової діяльності сканування», — пояснюють агентства.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/