Penka Christovska
Mis à jour le: 17 janvier 2024
Les pirates derrière le malware Androxgh0st créent un botnet capable de voler les identifiants cloud des principales plateformes, ont annoncé mardi les cyberagences américaines.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont publié un conseil conjoint sur les résultats des enquêtes en cours sur les stratégies employées par les pirates utilisant le malware.
Ce malware a été identifié pour la première fois en décembre 2022 par Lacework Labs.
Selon les agences, les pirates utilisent Androxgh0st pour créer un botnet « pour l’identification et l’exploitation des victimes dans les réseaux cibles ». Le botnet recherche les fichiers .env, que les cybercriminels ciblent souvent car ils contiennent des informations d'identification et des jetons. Les agences ont déclaré que ces informations d'identification proviennent d'« applications de haut niveau », telles que Microsoft Office 365, SendGrid, Amazon Web Services et Twilio.
"Le malware Androxgh0st prend également en charge de nombreuses fonctions capables d'abuser du protocole SMTP (Simple Mail Transfer Protocol), telles que l'analyse et l'exploitation des informations d'identification et des interfaces de programmation d'application (API) exposées, ainsi que le déploiement de shell Web", ont expliqué le FBI et la CISA.
Le malware est utilisé dans des campagnes visant à identifier et cibler les sites Web présentant des vulnérabilités particulières. Le botnet utilise le framework Laravel, un outil de développement d'applications Web, pour rechercher des sites Web. Une fois les sites Web trouvés, les pirates tentent de déterminer si certains fichiers sont accessibles et s'ils contiennent des informations d'identification.
Les avis de la CISA et du FBI signalent une vulnérabilité critique et corrigée depuis longtemps dans Laravel, identifiée comme CVE-2018-15133, que le botnet exploite pour accéder aux informations d'identification, telles que les noms d'utilisateur et les mots de passe pour des services tels que la messagerie électronique (en utilisant SMTP) et les comptes AWS.
"Si les acteurs malveillants obtiennent des informations d'identification pour des services… ils peuvent utiliser ces informations d'identification pour accéder à des données sensibles ou utiliser ces services pour mener des opérations malveillantes supplémentaires", indique l'avis.
« Par exemple, lorsque des acteurs malveillants parviennent à identifier et à compromettre les informations d'identification AWS d'un site Web vulnérable, ils ont été observés en train de tenter de créer de nouveaux utilisateurs et de nouvelles politiques d'utilisation. De plus, des acteurs Andoxgh0st ont été observés en train de créer de nouvelles instances AWS à utiliser pour mener des activités d'analyse supplémentaires », expliquent les agences.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
