Site icon Kiber.ba

FBI: Androxgh0st malver botnet krade AWS i Microsoft kredencijale

FBI: Androxgh0st malver botnet krade AWS i Microsoft akreditive - Kiber.ba

FBI: Androxgh0st malver botnet krade AWS i Microsoft akreditive - Kiber.ba

CISA i FBI upozorili su danas da hakeri koji koriste malver Androxgh0st grade botnet fokusiran na krađu kredencijala u oblaku i koriste ukradene informacije za isporuku dodatnih payload-a.

Botnet je prvi uočio Lacework Labs 2022. godine i tada je botnet kontrolisao preko 40.000 uređaja, prema podacima Fortiguard Labsa.

On skenira web stranice i servere koji su ranjivi na sljedeće ranjivosti daljinskog izvršavanja koda (RCE): CVE-2017-9841 (PHPUnit okvir za testiranje jedinica), CVE-2021-41773 (Apache HTTP server) i CVE-2018-15133 (Laravel PHP). web framework).

“Androxgh0st je malver skriptiran u Pythonu koji se prvenstveno koristi za ciljanje .env datoteka koje sadrže povjerljive informacije, kao što su kredencijali za različite aplikacije visokog profila (tj. Amazon Web Services [AWS], Microsoft Office 365, SendGrid i Twilio sa Laravel framework-a web aplikacija),” upozorile su dvije agencije.

“Androxgh0st malver također podržava brojne funkcije koje mogu zloupotrijebiti Simple Mail Transfer Protocol (SMTP), kao što su skeniranje i iskorištavanje otkrivenih kredencijala i interfejsa za programiranje aplikacija (API) i implementacija web shell-a.”

Ukradene Twilio i SendGrid kredencijale mogu koristiti hakeri za vođenje spam kampanja koje se lažno predstavljaju kao već provaljene kompanije.

“U zavisnosti od upotrebe, AndroxGh0st može obavljati jednu od dvije primarne funkcije u odnosu na stečene kredencijale. Najčešća od njih je provjera ograničenja slanja e-pošte za račun kako bi se procijenilo može li se iskoristiti za neželjenu poštu”, navodi Lacework.

Napadači su takođe primijećeni kako kreiraju lažne stranice na kompromitovanim web stranicama, dajući im backdoor za pristup bazama podataka koje sadrže osjetljive informacije i primjenjuju više zlonamjernih alata vitalnih za njihove operacije.

Nakon što su uspješno identifikovali i kompromitovali AWS kredencijale na ranjivoj web stranici, pokušali su i kreirati nove korisnike i korisnička pravila.

Nadalje, Andoxgh0st operateri koriste ukradene kredencijale za pokretanje novih AWS instanci za skeniranje dodatnih ranjivih ciljeva širom interneta.

FBI i CISA savjetuju zaštitnike mreže da implementiraju sljedeće mjere ublažavanja kako bi ograničili utjecaj Androxgh0st malver napada i smanjili rizik od kompromitacije:

FBI je takođe tražio informacije o Androxgh0st malveru od organizacija koje otkrivaju sumnjive ili kriminalne aktivnosti povezane s ovom prijetnjom.

CISA je danas dodala CVE-2018-15133 Laravel deserializaciju ranjivosti nepouzdanih podataka u svoj Katalog poznatih eksploatisanih ranjivosti na osnovu ovog dokaza o aktivnoj eksploataciji.

Američka agencija za sajber bezbjednost također je naredila federalnim agencijama da do 6. februara osiguraju svoje sisteme od ovih napada.

CVE-2021-41773 Apache HTTP server traversal traversal paths i CVE-2017-9841 PHPUnit ranjivost ubrizgavanja komande dodane su u katalog u novembru 2021. i februaru 2022., respektivno.

Izvor: BleepingComputer

Exit mobile version