Penka Hristovska
Posodobljeno dne: Januar 17, 2024
Hekerji, ki stojijo za zlonamerno programsko opremo Androxgh0st, ustvarjajo botnet, ki je sposoben ukrasti poverilnice v oblaku z večjih platform, so v torek sporočile ameriške kibernetske agencije.
Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) in Zvezni preiskovalni urad (FBI) sta objavila skupno svetovanje o ugotovitvah tekočih preiskav o strategijah, ki so jih uporabili hekerji, ki uporabljajo zlonamerno programsko opremo.
Lacework Labs je to zlonamerno programsko opremo prvič odkril decembra 2022.
Po navedbah agencij hekerji uporabljajo Androxgh0st za ustvarjanje botneta "za identifikacijo žrtev in izkoriščanje v ciljnih omrežjih." Botnet išče datoteke .env, na katere kibernetski kriminalci pogosto ciljajo, saj vsebujejo poverilnice in žetone. Agencije so povedale, da so te poverilnice iz "odmevnih aplikacij", kot so Microsoft Office 365, SendGrid, Amazon Web Services in Twilio.
"Zlonamerna programska oprema Androxgh0st podpira tudi številne funkcije, ki lahko zlorabljajo protokol SMTP (Simple Mail Transfer Protocol), kot sta skeniranje in izkoriščanje izpostavljenih poverilnic in vmesnikov za programiranje aplikacij (API-jev) ter uvajanje spletne lupine," sta pojasnila FBI in CISA.
Zlonamerna programska oprema se uporablja v kampanjah, namenjenih prepoznavanju in ciljanju spletnih mest s posebnimi ranljivostmi. Botnet za iskanje spletnih mest uporablja ogrodje Laravel, orodje za razvoj spletnih aplikacij. Ko najde spletna mesta, hekerji poskušajo ugotoviti, ali so določene datoteke dostopne in ali vsebujejo poverilnice.
Svetovanje CISA in FBI kaže na kritično in že dolgo popravljeno ranljivost v Laravelu, označeno kot CVE-2018-15133, ki jo botnet izkorišča za dostop do poverilnic, kot so uporabniška imena in gesla za storitve, kot so e-pošta (z uporabo SMTP) in računi AWS.
"Če akterji groženj pridobijo poverilnice za katero koli storitev ... lahko te poverilnice uporabijo za dostop do občutljivih podatkov ali uporabijo te storitve za izvajanje dodatnih zlonamernih operacij," piše v nasvetu.
»Na primer, ko akterji groženj uspešno identificirajo in ogrozijo poverilnice AWS z ranljivega spletnega mesta, so opazili, da poskušajo ustvariti nove uporabnike in uporabniške pravilnike. Poleg tega so opazili, da akterji Andoxgh0st ustvarjajo nove instance AWS, ki se uporabljajo za izvajanje dodatnih dejavnosti skeniranja,« pojasnjujejo agencije.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
