Federais alertam sobre a botnet AndroxGh0st visando credenciais do AWS, Azure e Office 365
17 de Janeiro de 2024

A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) e o Bureau Federal de Investigação (FBI) alertaram que atores de ameaças que implantam o malware AndroxGh0st estão criando uma botnet para "identificação e exploração de vítimas em redes-alvo".

Um malware baseado em Python, o AndroxGh0st foi documentado pela primeira vez pela Lacework em dezembro de 2022, com o malware inspirando várias ferramentas semelhantes como AlienFox, GreenBot (também conhecido como Maintance), Legion e Predator.

A ferramenta de ataque na nuvem é capaz de infiltrar-se em servidores vulneráveis a falhas de segurança conhecidas para acessar arquivos de ambiente do Laravel e roubar credenciais de aplicativos de alto perfil como Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.

Algumas das falhas notáveis utilizadas pelos atacantes incluem CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Servidor HTTP Apache) e CVE-2018-15133 (Framework Laravel).

"AndroxGh0st tem várias características para permitir abuso do SMTP, incluindo varredura, exploração de credenciais e APIs expostas e até mesmo implantação de shells da web", disse Lacework.

"Para a AWS especificamente, o malware faz a varredura e analisa as chaves da AWS, mas também tem a capacidade de gerar chaves para ataques de força bruta."

Essas características tornam o AndroxGh0st uma ameaça potente que pode ser usada para baixar cargas úteis adicionais e manter acesso persistente aos sistemas comprometidos.

O desenvolvimento chega menos de uma semana após a SentinelOne revelar uma ferramenta relacionada, mas distinta, chamada FBot que está sendo usada por atacantes para violar servidores web, serviços na nuvem, sistemas de gerenciamento de conteúdo (CMS) e plataformas SaaS.

Também segue um alerta da NETSCOUT sobre um pico significativo na atividade de varredura de botnet desde meados de novembro de 2023, atingindo um pico de quase 1,3 milhão de dispositivos distintos em 5 de janeiro de 2024.

A maioria dos endereços IP de origem está associada aos EUA, China, Vietnã, Taiwan e Rússia.

"A análise da atividade revelou um aumento no uso de servidores de nuvem e hospedagem baratos ou gratuitos que os atacantes estão usando para criar plataformas de lançamento de botnet", disse a empresa.

"Esses servidores são usados por meio de testes, contas gratuitas ou de baixo custo, que oferecem anonimato e manutenção de baixo custo."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...