La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont averti que les acteurs de la menace utilisant le logiciel malveillant AndroxGh0st créent un botnet pour « l’identification et l’exploitation des victimes dans les réseaux cibles ».
Ce malware basé sur Python, AndroxGh0st, a été documenté pour la première fois par Lacework en décembre 2022, et il a inspiré plusieurs outils similaires tels qu’AlienFox, GreenBot (également connu sous le nom de Maintance), Legion et Predator.
L’outil d’attaque sur le cloud est capable d’infiltrer des serveurs vulnérables à des failles de sécurité connues pour accéder aux fichiers d’environnement Laravel et voler des identifiants pour des applications de haut niveau telles qu’Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio.
Certaines des failles notables exploitées par les attaquants incluent CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) et CVE-2018-15133 (cadre Laravel).
« AndroxGh0st possède de multiples fonctionnalités permettant l’abus SMTP, y compris le balayage, l’exploitation des identifiants et API exposés, et même le déploiement de web shells », a déclaré Lacework. « Pour AWS en particulier, le malware recherche et analyse les clés AWS mais a également la capacité de générer des clés pour des attaques par force brute. »
Ces fonctionnalités rendent AndroxGh0st une menace redoutable qui peut être utilisée pour télécharger des charges utiles supplémentaires et conserver un accès persistant aux systèmes compromis.
Cette évolution survient moins d’une semaine après que SentinelOne a révélé un outil lié mais distinct appelé FBot, qui est utilisé par les attaquants pour pirater des serveurs web, des services cloud, des systèmes de gestion de contenu (CMS) et des plateformes SaaS.
Elle fait également suite à une alerte de NETSCOUT concernant une augmentation significative de l’activité de balayage de botnet depuis mi-novembre 2023, atteignant un pic de près de 1,3 million d’appareils distincts le 5 janvier 2024. La majorité des adresses IP sources sont associées aux États-Unis, à la Chine, au Vietnam, à Taïwan et à la Russie.
« L’analyse de l’activité a révélé une hausse de l’utilisation de serveurs cloud ou d’hébergement bon marché ou gratuits que les attaquants utilisent pour créer des bases de lancement de botnets », a déclaré l’entreprise. « Ces serveurs sont utilisés via des essais, des comptes gratuits ou à bas coût, offrant l’anonymat et un coût de maintenance minimal. »