FBI και CISA προειδοποιούν για το malware Androxgh0st
Το FBI και η CISA έχουν εκδώσει μια σημαντική ενημερωτική σχετικά με το botnet Androxgh0st, ένα malware που έχει γραφεί σε Python και ανιχνεύθηκε από το Lacework Labs το 2022.
Αυτό το κακόβουλο λογισμικό στοχεύει ευπάθειες σε web frameworks και servers, ιδιαίτερα σε αυτούς που χρησιμοποιούν παλαιότερες εκδόσεις του PHPUnit, PHP web frameworks και Apache web servers, και έχουν γνωστές αδυναμίες σε απομακρυσμένη εκτέλεση κώδικα. Ο κύριος στόχος του Androxgh0st είναι να διεισδύσει και να εκμεταλλευτεί τα αρχεία .env, τα οποία περιέχουν ευαίσθητες πληροφορίες στο cloud. Εστιάζει ιδιαίτερα σε μεγάλες πλατφόρμες όπως AWS, SendGrid και Microsoft Office 365.
Το Androxgh0st, ονομαζόμενο για τα ασυνήθιστα αιτήματα web σε συγκεκριμένες τοποθεσίες διακομιστών, αντλεί διαπιστευτήρια από κατεστραμμένα αρχεία .env. Το malware είναι υψηλής ικανότητας στην αυτόματη αναπαραγωγή, χρησιμοποιώντας κλεμμένα διαπιστευτήρια AWS για τη δημιουργία νέων χρηστών, επεκτείνοντας έτσι την επιρροή του στο διαδίκτυο προκειμένου να εντοπίσει περισσότερους στόχους. Η CISA και το FBI συνιστούν στους παρόχους υπηρεσιών να ενημερώνουν την έκδοση του Apache, να ελέγχουν τακτικά τα διαπιστευτήρια στο cloud και να ρυθμίζουν τους διακομιστές τους για αυτόματη απόρριψη μη εξουσιοδοτημένης πρόσβασης.
Η ανάλυση του Lacework Labs αποκαλύπτει ότι περίπου το 68% των καταχρήσεων SMTP από τον Androxgh0st προέρχονται από συστήματα Windows, με το 87% των επιθέσεων να εκτελούνται μέσω της Python. Κατά την κορύφωσή του τον Ιανουάριο, το malware μολύνει περίπου 50.000 συσκευές, αλλά αυτός ο αριθμός έχει μειωθεί από τότε σε περίπου 9.300. Οι ειδικοί αποδίδουν τη γρήγορη εξάπλωση του Androxgh0st στην ανεπαρκή διαχείριση ενημερώσεων και στην κυριαρχία των διακομιστών που εκτελούν παλαιότερο λογισμικό.
Οι χάκερς που χρησιμοποιούν τον Androxgh0st όχι μόνο κλέβουν διαπιστευτήρια για τη δημιουργία phishing μηνυμάτων, αλλά μπορούν επίσης να συλλέγουν προσωπικά αναγνωριστικά στοιχεία (PII) από υπηρεσίες.
