Cibercriminosos estão usando malware de botnet Androxgh0st para obter acesso à rede de sistemas comprometidos que lhes permite realizar vários tipos de atividades ilícitas. Eles são atraídos por malware de botnet devido à sua infraestrutura distribuída e anônima, o que o torna furtivo e sofisticado.
O Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) descobriram recentemente que hackers estão implantando ativamente o malware de botnet Androxgh0st que rouba credenciais da AWS e da Microsoft.
Malware de Botnet Androxgh0st
O malware Androxgh0st cria uma botnet para encontrar e explorar vítimas em redes alvo. É uma ameaça com script Python que visa arquivos .env com dados confidenciais, como credenciais para AWS, Office 365, SendGrid e Twilio. Esse malware de botnet, “Androxgh0st”, também faz uso indevido de SMTP para varredura, exploração de credenciais e APIs e implantação de web shells em sistemas direcionados comprometidos.
Para procurar sites com vulnerabilidades, o malware Androxgh0st usa scripts explorando o CVE-2017-9841 para executar código PHP remotamente via PHPUnit. Ele tem como alvo o URI /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php em sites com pastas /vendor expostas, o que permite que os agentes de ameaças executem código.
Além disso, esse malware também permite o download de arquivos maliciosos, a configuração de páginas falsas para acesso backdoor e o acesso a bancos de dados em operações cibernéticas. O malware tem como alvo os arquivos .env em busca de credenciais e, para verificar aplicativos da web Laravel, ele forma um botnet.
A ação
Os atores da ameaça emitem solicitações GET/POST para o URI /.env pesquisando nomes de usuário, senhas e muito mais. No modo de depuração, eles usam uma variável POST (0x[]) como identificador. Se forem bem-sucedidos, eles acessam o e-mail, as credenciais da AWS e a chave do aplicativo Laravel. Além disso, ao explorar CVE-2018-15133 , eles criptografam o código PHP para passá-lo através do cookie XSRF-TOKEN para execução remota de código e upload de arquivos.
Os atores de ameaças por trás do malware do botnet Androxgh0st exploram o CVE-2021-41773 verificando os servidores Apache (v2.4.49 ou v2.4.50). Através da travessia de caminho, eles localizam arquivos além do diretório raiz, permitindo a execução remota de código. Eles acessam dados confidenciais ou fazem uso indevido dos serviços obtendo as credenciais. Enquanto para compromissos da AWS; eles criam usuários, políticas e instâncias para verificação posterior.
Os usuários do AWS e da Microsoft devem ficar atentos a essa nova campanha de malware, para que não sejam pegos de surpresa.