Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben davor gewarnt, dass diejenigen, die die AndroxGh0st-Malware einsetzen, ein Botnetz zur „Identifizierung und Ausbeutung von Opfern in Zielnetzwerken“ erstellen.
AndroxGh0st ist eine auf Python basierende Malware, die erstmals im Dezember 2022 von Lacework dokumentiert wurde. Die Malware hat mehrere ähnliche Tools inspiriert, wie zum Beispiel AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator.
Das Cloud-Angriffstool ist in der Lage, in für bekannte Sicherheitslücken anfällige Server einzudringen, um auf Laravel-Umgebungsdateien zuzugreifen und Zugangsdaten für High-Profile-Anwendungen wie Amazon Web Services (AWS), Microsoft Office 365, SendGrid und Twilio zu stehlen.
Einige der bemerkenswerten Schwachstellen, die von den Angreifern für ihre Angriffe genutzt werden, sind ${match} (PHPUnit), ${match} (Apache HTTP Server) und ${match} (Laravel Framework).
„AndroxGh0st verfügt über mehrere Funktionen, um den Missbrauch von SMTP zu ermöglichen, einschließlich Scannen, Ausnutzen von freigelegten Zugangsdaten und APIs sowie Bereitstellung von Webshells“, sagte Lacework. „Für AWS scannt die Malware speziell nach und analysiert AWS-Schlüssel, hat aber auch die Fähigkeit, Schlüssel für Brute-Force-Angriffe zu generieren.“
Diese Funktionen machen AndroxGh0st zu einer potenziellen Bedrohung, die dazu verwendet werden kann, zusätzliche Schadprogramme herunterzuladen und den dauerhaften Zugang zu kompromittierten Systemen zu behalten. Die Entwicklung erfolgt weniger als eine Woche, nachdem SentinelOne ein ähnliches, aber eigenständiges Tool namens FBot enthüllt hat, das von Angreifern eingesetzt wird, um Webserver, Cloud-Dienste, Content Management Systeme (CMS) und SaaS-Plattformen zu infiltrieren.
Dies erfolgt auch nach einer Warnung von NETSCOUT über einen signifikanten Anstieg der Botnetz-Scanning-Aktivitäten seit Mitte November 2023, mit einem Höchststand von fast 1,3 Millionen verschiedenen Geräten am 5. Januar 2024. Die Mehrheit der Quell-IP-Adressen ist mit den USA, China, Vietnam, Taiwan und Russland verbunden.
„Die Analyse der Aktivität hat einen Anstieg in der Nutzung von günstigen oder kostenlosen Cloud- und Hosting-Servern aufgedeckt, die von Angreifern als Startplattformen für Botnetze genutzt werden“, so das Unternehmen. „Diese Server werden über Testversionen, kostenlose Konten oder kostengünstige Konten genutzt, was Anonymität und minimale Betriebskosten für die Angreifer bietet.“