Агентство кибербезопасности и инфраструктуры безопасности США (CISA) и Федеральное бюро расследований (ФБР) предупредили, что злоумышленники, внедряющие вредоносное ПО AndroxGh0st, создают ботнет для "идентификации жертв и эксплуатации в целевых сетях".
Вредоносная программа на основе Python, AndroxGh0st была впервые задокументирована Lacework в декабре 2022 года, причем вредоносная программа вдохновила несколько похожих инструментов, таких как AlienFox, GreenBot (он же Maintance), Legion и Predator.
Инструмент облачной атаки способен проникать на серверы, уязвимые к известным недостаткам безопасности, для доступа к файлам среды Laravel и кражи учетных данных для таких популярных приложений, как Amazon Web Services (AWS), Microsoft Office 365, SendGrid и Twilio.
Некоторые из заметных недостатков, использованных злоумышленниками, включают CVE-2017-9841 (PHPUnit), CVE-2021-41773 (HTTP-сервер Apache) и CVE-2018-15133 (платформа Laravel).
"AndroxGh0st имеет множество функций для предотвращения злоупотреблений SMTP, включая сканирование, использование открытых кредитных карт и API и даже развертывание веб-оболочек", - сказал Лейсворк. "В частности, для AWS вредоносная программа сканирует и анализирует ключи AWS, но также имеет возможность генерировать ключи для атак методом перебора".
Эти особенности делают AndroxGh0st мощной угрозой, которая может использоваться для загрузки дополнительных полезных данных и сохранения постоянного доступа к скомпрометированным системам.
Разработка появилась менее чем через неделю после того, как SentinelOne раскрыла связанный, но отличный инструмент под названием FBot, который используется злоумышленниками для взлома веб-серверов, облачных сервисов, систем управления контентом (CMS) и платформ SaaS.
Это также следует за предупреждением NETSCOUT о значительном всплеске активности по сканированию ботнета с середины ноября 2023 года, достигнув пика почти в 1,3 миллиона различных устройств 5 января 2024 года. Большинство исходных IP-адресов связаны с США, Китаем, Вьетнамом, Тайванем и Россией.
"Анализ активности выявил рост использования дешевых или бесплатных облачных и хостинговых серверов, которые злоумышленники используют для создания стартовых площадок ботнета", - сказали в компании. "Эти серверы используются через пробные версии, бесплатные учетные записи или недорогие учетные записи, которые обеспечивают анонимность и минимальные накладные расходы на обслуживание".
Вредоносная программа на основе Python, AndroxGh0st была впервые задокументирована Lacework в декабре 2022 года, причем вредоносная программа вдохновила несколько похожих инструментов, таких как AlienFox, GreenBot (он же Maintance), Legion и Predator.
Инструмент облачной атаки способен проникать на серверы, уязвимые к известным недостаткам безопасности, для доступа к файлам среды Laravel и кражи учетных данных для таких популярных приложений, как Amazon Web Services (AWS), Microsoft Office 365, SendGrid и Twilio.
Некоторые из заметных недостатков, использованных злоумышленниками, включают CVE-2017-9841 (PHPUnit), CVE-2021-41773 (HTTP-сервер Apache) и CVE-2018-15133 (платформа Laravel).
"AndroxGh0st имеет множество функций для предотвращения злоупотреблений SMTP, включая сканирование, использование открытых кредитных карт и API и даже развертывание веб-оболочек", - сказал Лейсворк. "В частности, для AWS вредоносная программа сканирует и анализирует ключи AWS, но также имеет возможность генерировать ключи для атак методом перебора".
Эти особенности делают AndroxGh0st мощной угрозой, которая может использоваться для загрузки дополнительных полезных данных и сохранения постоянного доступа к скомпрометированным системам.
Разработка появилась менее чем через неделю после того, как SentinelOne раскрыла связанный, но отличный инструмент под названием FBot, который используется злоумышленниками для взлома веб-серверов, облачных сервисов, систем управления контентом (CMS) и платформ SaaS.
Это также следует за предупреждением NETSCOUT о значительном всплеске активности по сканированию ботнета с середины ноября 2023 года, достигнув пика почти в 1,3 миллиона различных устройств 5 января 2024 года. Большинство исходных IP-адресов связаны с США, Китаем, Вьетнамом, Тайванем и Россией.
"Анализ активности выявил рост использования дешевых или бесплатных облачных и хостинговых серверов, которые злоумышленники используют для создания стартовых площадок ботнета", - сказали в компании. "Эти серверы используются через пробные версии, бесплатные учетные записи или недорогие учетные записи, которые обеспечивают анонимность и минимальные накладные расходы на обслуживание".
