Androxgh0st: CISA ed FBI avvertono, la Botnet sfrutta bug noti e ruba credenziali di accesso

La Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno emesso un avvertimento congiunto sul malware Androxgh0st, che crea una botnet utilizzata per attaccare ulteriormente le reti vulnerabili.

È noto che il malware Androxgh0st è scritto in Python ed è stato scoperto per la prima volta da Lacework nel dicembre 2022. Questo strumento di attacco cloud è in grado di penetrare nei server vulnerabili a bug noti eaccedere ai file dell’ambiente Laravel. Inoltre ruba credenziali per Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.

È stato inoltre riferito che il malware può abusare del protocollo SMTP per eseguire scansioni, sfruttare credenziali e API rubate e distribuire shell web.

“Gli aggressori probabilmente utilizzano Androxgh0st per caricare file dannosi sul sistema che ospita il sito vulnerabile. Possono quindi creare una pagina falsa (illegittima) accessibile tramite l’URI per concedere l’accesso backdoor. Ciò consente loro di scaricare ulteriori file dannosi per le loro operazioni e ottenere l’accesso ai database”, hanno affermato l’FBI e la CISA in una nota.

La botnet Androxgh0st cerca siti che utilizzano il framework Laravel, nonché file .env aperti a livello root contenenti credenziali per servizi aggiuntivi. Gli operatori del malware inviano quindi richieste per ottenere informazioni sensibili archiviate in questi file.

Per i loro attacchi, gli hacker utilizzano tre vulnerabilità vecchie e risolte da tempo:

• CVE-2018-15133 in Laravel, che consente di caricare qualsiasi file su siti vulnerabili;
• CVE-2021-41773 nelle versioni Apache HTTP Server 2.4.49 e 2.4.50, che consente l’esecuzione remota di codice arbitrario;
• CVE-2017-9841 in PHPUnit, che consente l’esecuzione di codice PHP tramite richieste HTTP POST e caricamenti di file.

Le credenziali AWS compromesse in questo modo vengono successivamente utilizzate per creare nuovi utenti e policy e, in alcuni casi, per distribuire nuove istanze AWS, che vengono poi utilizzate per avviare nuove scansioni malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore