Avviso delle Autorità Statunitensi: AndroxGh0st Botnet Mirato a Credenziali AWS, Azure e Office 365
L'Agenzia per la Sicurezza Informatica e dell'Infrastruttura degli Stati Uniti (CISA) e l'FBI hanno emesso un avvertimento congiunto, segnalando che attori minacciosi che utilizzano il malware AndroxGh0st stanno creando una botnet per l'"identificazione e lo sfruttamento delle vittime nelle reti di destinazione."
AndroxGh0st è un malware basato su Python, documentato per la prima volta da Lacework nel dicembre 2022. Il malware ha ispirato la creazione di diverse altre strumenti simili, tra cui AlienFox, GreenBot (alias Maintance), Legion e Predator.
Lo strumento di attacco basato su cloud è in grado di infiltrare server vulnerabili a noti problemi di sicurezza per accedere ai file di ambiente Laravel e rubare credenziali per applicazioni di alto profilo come Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.
Tra le vulnerabilità sfruttate dagli attaccanti, spiccano CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) e CVE-2018-15133 (Laravel Framework).
"AndroxGh0st ha diverse funzionalità per consentire l'abuso di SMTP, tra cui scansione, sfruttamento di credenziali e API esposte, e persino il rilascio di web shell," ha dichiarato Lacework. "Per AWS in particolare, il malware ricerca e analizza le chiavi AWS ma ha anche la capacità di generare chiavi per attacchi di forza bruta."
Queste caratteristiche rendono AndroxGh0st una minaccia potente che può essere utilizzata per scaricare payload aggiuntivi e mantenere un accesso persistente ai sistemi compromessi.
Questa segnalazione arriva meno di una settimana dopo che SentinelOne ha rivelato uno strumento correlato ma distinto chiamato FBot, utilizzato dagli attaccanti per violare server web, servizi cloud, sistemi di gestione dei contenuti (CMS) e piattaforme SaaS.
Inoltre, segue un avviso da parte di NETSCOUT riguardo a un significativo picco di attività di scansione da parte di botnet dal novembre 2023, con un picco di quasi 1,3 milioni di dispositivi distinti il 5 gennaio 2024. La maggior parte degli indirizzi IP di origine è associata agli Stati Uniti, Cina, Vietnam, Taiwan e Russia.
L'analisi dell'attività ha scoperto un aumento dell'uso di server cloud economici o gratuiti che gli attaccanti utilizzano per creare basi di lancio per la botnet," ha dichiarato l'azienda. "Questi server vengono utilizzati attraverso trial, account gratuiti o account a basso costo, che forniscono anonimato e un overhead minimo per la manutenzione.
Vulnerabilità e Patch Sicurezza
- Allarme Zero-Day: Aggiorna Subito Chrome per Risolvere una Nuova Vulnerabilità Attivamente Sfruttata
- Attacco Zero-Day: Hacker Cinesi Sfruttano Vulnerabilità Critiche in Ivanti Connect Secure e Policy Secure
- Citrix, VMware e Atlassian Colpiti da Flaw Critici – Urgente Applicazione Patch!
- Nuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreen
- NoaBot: Nuovo Botnet Mirai per il Mining di Criptovalute su Server SSH
- Cisco Agisce Rapidamente: Risoluzione Vulnerabilità Critica in Unity Connection con gli Ultimi Aggiornamenti
- FBot: Il Nuovo Toolkit di Hacking Python Rivela Attacchi a Server Cloud e Piattaforme SaaS
- Hacker siriani distribuiscono Silver RAT C# stealthy ai criminali informatici
- Water Curupira Hackers Distribuiscono Attivamente il Malware PikaBot Loader: Analisi e Implicazioni
- Malware e Google MultiLogin: Accesso Persistente Nonostante il Reset della Password
- Nuova Variante di Bandook RAT: Risorge, Mirando i Sistemi Windows
- Vulnerabilità Critica in Ivanti Endpoint Manager: Patch Rilasciata
- Truffe Bitcoin: Attenti alle Frodi di Mining Online – Guida Anti-Phishing
- Nuovo caricatore malware Rugmi registra centinaia di rilevamenti giornalieri
- Apple iOS vulnerabile a spyware sofisticato che sfrutta una funzione hardware segreta
- Hacker cinesi sfruttano zero-day negli apparecchi ESG di Barracuda
- New Android Xamalicious Malware Affects 327,000 Devices: Data Theft and Financial Attacks
- Nuovo Malware Android Xamalicious Colpisce 327.000 Dispositivi: Dati Rubati e Attacchi Finanziari
- Carbanak: Malware Bancario Risorge con Nuove Tattiche di Ransomware
- Attacchi di Spear-Phishing di Cloud Atlas: Impatti sulle Imprese Russe
- Nuovo Backdoor ‘FalseFont’: Minaccia al Settore Difesa Avvertita da Microsoft
- Rischio Malware: Documenti Word Falsi usati per Diffondere Minaccia Nim
- Rischio: Plugin WordPress Fraudolento Espone Siti E-commerce al Furto di Carte di Credito
- Chameleon: Nuova Minaccia – Trojan Bancario Android Aggira l’Autenticazione Biometrica
- Spyware Predator: Analisi del Modello di Licensing Milionario e Impatto sulla Sicurezza Mobile
- Disattivazione BlackCat Ransomware: Lotta dell’FBI contro il Cybercrimine
- Rhadamanthys Malware: Swiss Army Knife dei Furti di Informazioni Emergenti
- Esperti svelano dettagli su Exploit Zero-Click RCE in Outlook
- Vulnerabilità nascoste delle App Web: Bug o Caratteristica?
- Storm-0539: Il Nuovo Pericolo delle Frodi con Buoni Regalo durante le Feste
- Botnet KV: Attacchi Silenziosi a Cisco, DrayTek e Fortinet con Routers e Firewall
- Scoperta minaccia NKAbuse: Malware DDoS su Tecnologia Blockchain NKN
- Minaccia BazaCall: Utilizzo di Google Forms nel Nuovo Attacco di Phishing
- Microsoft Avverte: Attacchi di Phishing e Mining di Criptovalute sfruttano OAuth
- Microsoft Patch Tuesday Dicembre 2023: Risolti 33 Difetti, 4 Critici
- Minacce Informatiche al Settore Sanitario: Strategie Vigili contro Ransomware e Vulnerabilità
- Rischi dell’Accesso Non Umano nel 2023: Attacchi Informatici e Sicurezza delle Identità
- Apache Struts 2 Vulnerabilità Critica di RCE – Patch di Sicurezza Necessaria
- Apple rilascia iOS 17.2 con la sua nuova app Journal
- AutoSpill: Nuovo attacco ruba credenziali da gestori password Android
- SLAM Attack: Nuova vulnerabilità basata su Spectre colpisce CPU Intel, AMD e Arm
- 5Ghoul: Nuove Vulnerabilità Colpiscono Dispositivi iOS e Android
- PoolParty: Tecniche Iniezione Processi sfuggono EDR Windows
- Operazione RusticWeb: Malware basato su Rust prende di mira le entità del governo indiano
- UAC-0099 Sfrutta Vulnerabilità WinRAR per Attaccare Aziende Ucraine con Malware LONEPAGE
- SpectralBlur: Nuovo Malware macOS, Minaccia Nordcoreana Backdoor