La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) prevenido que los actores de amenazas que despliegan el AndroxGh0st El malware está creando una botnet para «identificar y explotar a las víctimas en las redes de destino».
Un malware basado en Python, AndroxGh0st Lacework lo documentó por primera vez en diciembre de 2022, y el malware inspiró varias herramientas similares como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator.
La herramienta de ataque en la nube es capaz de infiltrarse en servidores vulnerables a fallas de seguridad conocidas para acceder a archivos del entorno Laravel y robar credenciales para aplicaciones de alto perfil como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio.
Algunas de las fallas notables utilizadas por los atacantes incluyen CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Marco Laravel).
«AndroxGh0st tiene múltiples funciones para permitir el abuso de SMTP, incluido el escaneo, la explotación de credenciales y API expuestas e incluso la implementación de shells web», Lacework dicho. «Específicamente para AWS, el malware busca y analiza claves de AWS, pero también tiene la capacidad de generar claves para ataques de fuerza bruta».
Estas características hacen de AndroxGh0st una amenaza potente que puede usarse para descargar cargas útiles adicionales y retener acceso persistente a sistemas comprometidos.
El desarrollo llega menos de una semana después de que SentinelOne revelara una herramienta relacionada pero distinta llamada FBot que los atacantes están empleando para violar servidores web, servicios en la nube, sistemas de gestión de contenido (CMS) y plataformas SaaS.
También sigue a una alerta de NETSCOUT sobre un aumento significativo en la actividad de escaneo de botnets desde mediados de noviembre de 2023, alcanzando un pico de casi 1,3 millones de dispositivos distintos el 5 de enero de 2024. La mayoría de las direcciones IP de origen están asociadas con EE. UU. y China. , Vietnam, Taiwán y Rusia.
«El análisis de la actividad ha descubierto un aumento en el uso de servidores de alojamiento y nube baratos o gratuitos que los atacantes están utilizando para crear plataformas de lanzamiento de botnets», dijo la empresa. dicho. «Estos servidores se utilizan mediante pruebas, cuentas gratuitas o cuentas de bajo costo, que brindan anonimato y una sobrecarga mínima de mantenimiento».