Az Androxgh0st kártevőre figyelmeztet az FBI és a CISA

Az amerikai CISA és az FBI közös kiberbiztonsági tanácsadást adott ki, amelyben az AndroxGh0st rosszindulatú szoftverre figyelmeztet.

Az amerikai ügynökségek megosztják az Androxgh0st malware-t telepítő fenyegetettségi szereplőkkel kapcsolatos ismert IOC-ket és TTP-ket.

“Az Androxgh0st malware botnetet hoz létre az áldozatok azonosítására és kihasználására a sebezhető hálózatokban, és olyan fájlokat vesz célba, amelyek bizalmas információkat, például hitelesítő adatokat tartalmaznak különböző magas szintű alkalmazásokhoz” – olvasható a tanácsadásban.

Az Androxgh0st malware-t telepítő támadók a megfigyelések szerint bizonyos sebezhetőségeket használnak ki, amelyek távoli kódfuttatáshoz vezethetnek.

A Python alapú AndroxGh0st malware-t először 2022 decemberében észlelte a Lacework kiberbiztonsági cég.

“Az AndroxGh0st egy “SMTP cracker”, amelynek elsődleges célja a Laravel alkalmazás titkainak (jelszavak, API kulcsok, digitális tanúsítványok stb.) keresése és elemzése az .env fájlokból. A Laravel egy nyílt forráskódú PHP keretrendszer, és az .env fájlját gyakran célba veszik a különböző konfigurációs adatok, köztük az AWS, a SendGrid és a Twilio miatt” – jelentette a Lacework.

A kártevő több funkciót is támogat, beleértve a szkennelést, a felfedett hitelesítő adatok és API-k kihasználását és webshell telepítését is. A rosszindulatú szoftver lehetővé teszi az üzemeltetők számára az AWS kulcsok keresését és elemzését, de képes kulcsokat is generálni a bruteforce támadásokhoz.

A közös kiberbiztonsági tanácsadás (CSA) szerint az Androxgh0st malware mögött álló támadók a következő sebezhetőségeket használják ki, hogy távoli kódfuttatást érjenek el a célrendszereken:

CVE-2017-9841 (PHP Unit Command)

CVE-2021-41773 (Apache HTTP Server verziók)

CVE-2018-15133 (Laravel alkalmazások)

A kártevőhöz kapcsolódó ismert indikátorok itt érhetőek el.

(securityaffairs.com)