Penka Hristovska
Bijgewerkt op: 17 januari 2024
De hackers achter de Androxgh0st-malware creëren een botnet dat cloudgegevens van grote platforms kan stelen, zeiden Amerikaanse cyberagentschappen dinsdag.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) hebben een gezamenlijk advies op de bevindingen uit het lopende onderzoek naar de strategieën die worden gebruikt door de hackers die de malware gebruiken.
Deze malware werd voor het eerst geïdentificeerd in december 2022 door Lacework Labs.
Volgens de agentschappen gebruiken de hackers de Androxgh0st om een botnet te creëren “voor de identificatie en uitbuiting van slachtoffers in doelnetwerken.” Het botnet zoekt naar .env-bestanden, waar cybercriminelen zich vaak op richten omdat deze inloggegevens en tokens bevatten. De bureaus zeiden dat deze inloggegevens afkomstig zijn van ‘high profile applicaties’, zoals Microsoft Office 365, SendGrid, Amazon Web Services en Twilio.
“Androxgh0st-malware ondersteunt ook talloze functies die misbruik kunnen maken van het Simple Mail Transfer Protocol (SMTP), zoals het scannen en exploiteren van blootgestelde inloggegevens en application programming interfaces (API’s) en webshell-implementatie”, leggen de FBI en CISA uit.
De malware wordt gebruikt in campagnes die gericht zijn op het identificeren en targeten van websites met bepaalde kwetsbaarheden. Het botnet maakt gebruik van het Laravel-framework, een hulpmiddel voor het ontwikkelen van webapplicaties, om websites te zoeken. Zodra de hackers de websites hebben gevonden, proberen ze vast te stellen of bepaalde bestanden toegankelijk zijn en of ze inloggegevens bevatten.
Het advies van CISA en FBI wijst op een kritieke en al lang geleden gepatchte kwetsbaarheid in Laravel, geïdentificeerd als CVE-2018-15133, die het botnet misbruikt om toegang te krijgen tot inloggegevens, zoals gebruikersnamen en wachtwoorden voor diensten zoals e-mail (met behulp van SMTP) en AWS-accounts.
“Als bedreigingsactoren inloggegevens voor welke dienst dan ook verkrijgen … kunnen ze deze inloggegevens gebruiken om toegang te krijgen tot gevoelige gegevens of deze diensten gebruiken om aanvullende kwaadaardige operaties uit te voeren”, luidt het advies.
“Wanneer bedreigingsactoren bijvoorbeeld met succes AWS-referenties van een kwetsbare website identificeren en compromitteren, wordt waargenomen dat ze proberen nieuwe gebruikers en gebruikersbeleid te creëren. Bovendien is waargenomen dat Andoxgh0st-actoren nieuwe AWS-instances creëren om te gebruiken voor het uitvoeren van extra scanactiviteiten”, leggen de bureaus uit.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
