Az amerikai CISA és az FBI közös kiberbiztonsági tanácsadást adott ki, amelyben az AndroxGh0st rosszindulatú szoftverre figyelmeztet.
Az amerikai ügynökségek megosztják az Androxgh0st malware-t telepítő fenyegetettségi szereplőkkel kapcsolatos ismert IOC-ket és TTP-ket.
„Az Androxgh0st malware botnetet hoz létre az áldozatok azonosítására és kihasználására a sebezhető hálózatokban, és olyan fájlokat vesz célba, amelyek bizalmas információkat, például hitelesítő adatokat tartalmaznak különböző magas szintű alkalmazásokhoz” – olvasható a tanácsadásban.
Az Androxgh0st malware-t telepítő támadók a megfigyelések szerint bizonyos sebezhetőségeket használnak ki, amelyek távoli kódfuttatáshoz vezethetnek.
A Python alapú AndroxGh0st malware-t először 2022 decemberében észlelte a Lacework kiberbiztonsági cég.
„Az AndroxGh0st egy „SMTP cracker”, amelynek elsődleges célja a Laravel alkalmazás titkainak (jelszavak, API kulcsok, digitális tanúsítványok stb.) keresése és elemzése az .env fájlokból. A Laravel egy nyílt forráskódú PHP keretrendszer, és az .env fájlját gyakran célba veszik a különböző konfigurációs adatok, köztük az AWS, a SendGrid és a Twilio miatt” – jelentette a Lacework.
A kártevő több funkciót is támogat, beleértve a szkennelést, a felfedett hitelesítő adatok és API-k kihasználását és webshell telepítését is. A rosszindulatú szoftver lehetővé teszi az üzemeltetők számára az AWS kulcsok keresését és elemzését, de képes kulcsokat is generálni a bruteforce támadásokhoz.
A közös kiberbiztonsági tanácsadás (CSA) szerint az Androxgh0st malware mögött álló támadók a következő sebezhetőségeket használják ki, hogy távoli kódfuttatást érjenek el a célrendszereken:
CVE-2017-9841 (PHP Unit Command)
CVE-2021-41773 (Apache HTTP Server verziók)
CVE-2018-15133 (Laravel alkalmazások)
A kártevőhöz kapcsolódó ismert indikátorok itt érhetőek el.
