Avviso delle Autorità Statunitensi: AndroxGh0st Botnet Mirato a Credenziali AWS, Azure e Office 365

Pubblicato il da

DALL·E 2023-10-27 11.37.40 - Foto intensa di una stanza piena di dispositivi connessi, con luci lampeggianti e cavi ovunque. Al centro, un hacker con una maschera, simboleggiando

Avviso delle Autorità Statunitensi: AndroxGh0st Botnet Mirato a Credenziali AWS, Azure e Office 365

L’Agenzia per la Sicurezza Informatica e dell’Infrastruttura degli Stati Uniti (CISA) e l’FBI hanno emesso un avvertimento congiunto, segnalando che attori minacciosi che utilizzano il malware AndroxGh0st stanno creando una botnet per l'”identificazione e lo sfruttamento delle vittime nelle reti di destinazione.”

AndroxGh0st è un malware basato su Python, documentato per la prima volta da Lacework nel dicembre 2022. Il malware ha ispirato la creazione di diverse altre strumenti simili, tra cui AlienFox, GreenBot (alias Maintance), Legion e Predator.

Lo strumento di attacco basato su cloud è in grado di infiltrare server vulnerabili a noti problemi di sicurezza per accedere ai file di ambiente Laravel e rubare credenziali per applicazioni di alto profilo come Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.

Tra le vulnerabilità sfruttate dagli attaccanti, spiccano CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) e CVE-2018-15133 (Laravel Framework).

“AndroxGh0st ha diverse funzionalità per consentire l’abuso di SMTP, tra cui scansione, sfruttamento di credenziali e API esposte, e persino il rilascio di web shell,” ha dichiarato Lacework. “Per AWS in particolare, il malware ricerca e analizza le chiavi AWS ma ha anche la capacità di generare chiavi per attacchi di forza bruta.”

Queste caratteristiche rendono AndroxGh0st una minaccia potente che può essere utilizzata per scaricare payload aggiuntivi e mantenere un accesso persistente ai sistemi compromessi.

Questa segnalazione arriva meno di una settimana dopo che SentinelOne ha rivelato uno strumento correlato ma distinto chiamato FBot, utilizzato dagli attaccanti per violare server web, servizi cloud, sistemi di gestione dei contenuti (CMS) e piattaforme SaaS.

Inoltre, segue un avviso da parte di NETSCOUT riguardo a un significativo picco di attività di scansione da parte di botnet dal novembre 2023, con un picco di quasi 1,3 milioni di dispositivi distinti il 5 gennaio 2024. La maggior parte degli indirizzi IP di origine è associata agli Stati Uniti, Cina, Vietnam, Taiwan e Russia.

L’analisi dell’attività ha scoperto un aumento dell’uso di server cloud economici o gratuiti che gli attaccanti utilizzano per creare basi di lancio per la botnet,” ha dichiarato l’azienda. “Questi server vengono utilizzati attraverso trial, account gratuiti o account a basso costo, che forniscono anonimato e un overhead minimo per la manutenzione.

Fonte della notizia

Avviso delle Autorità Statunitensi: AndroxGh0st Botnet Mirato a Credenziali AWS, Azure e Office 365ultima modifica: 2024-01-17T12:32:38+01:00da puma1973a
Reposta per primo quest’articolo