El CISA y el FBI advierten de la amenaza del malware AndroxGh0st
El CISA y el FBI han emitido conjuntamente una advertencia sobre la amenaza que supone el malware AndroxGh0st, haciendo hincapié en su uso en el establecimiento de una botnet para "la identificación de víctimas y la explotación dentro de las redes objetivo." Con origen en un informe de Lacework de diciembre de 2022, AndroxGh0st, un malware basado en Python, ha generado herramientas similares como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator.
Esta herramienta de ataque a la nube es experta en vulnerar servidores con vulnerabilidades de seguridad conocidas para acceder a los archivos de entorno de Laravel. Posteriormente, roba credenciales para aplicaciones de alto perfil como AWS, Microsoft Office 365, SendGrid y Twilio. Entre las vulnerabilidades más destacadas explotadas por AndroxGh0st se encuentran CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Laravel Framework).
Capacidades del malware AndroxGh0st
Lacework destaca las capacidades de AndroxGh0st para permitir el abuso de SMTP a través del escaneo, la explotación de credenciales y API expuestas, y el despliegue de web shells. Específicamente para AWS, el malware no solo escanea y analiza las claves de AWS, sino que también posee la capacidad de generar claves para ataques de fuerza bruta.
Las credenciales comprometidas de AWS se utilizan para crear nuevos usuarios, políticas de usuario y, en algunos casos, configurar nuevas instancias de AWS para otras actividades de análisis malicioso. Estas funcionalidades convierten al malware AndroxGh0st en una amenaza formidable capaz de descargar cargas útiles adicionales y mantener un acceso persistente a los sistemas comprometidos.
Alex Delamotte, de SentinelLabs, señala la rareza de los avisos de malware centrados en la nube y elogia a CISA por abordar este tipo de amenaza. Este aviso sigue a la revelación de SentinelOne de una herramienta relacionada pero distinta llamada FBot, utilizada por los atacantes para violar servidores web, servicios en la nube, CMS y plataformas SaaS.
Delamotte destaca la evolución del panorama de las amenazas en la nube, donde herramientas como AlienFox y Legion integran código de AndroxGh0st y FBot en un ecosistema holístico. A medida que los servicios en la nube sigan monetizándose, se espera que surjan herramientas a medida para servicios específicos, similares a las que se dirigen a los servicios de correo para ataques de spam.
Palabras finales
En conclusión, el aviso conjunto de CISA y el FBI subraya el creciente peligro que supone el malware AndroxGh0st y sus derivados. Debido a su énfasis en aprovechar vulnerabilidades conocidas, estos ataques requieren medidas proactivas de ciberseguridad y una mayor concienciación, especialmente en entornos de nube. A medida que el panorama sigue evolucionando, la colaboración y la concienciación siguen siendo cruciales para mitigar los riesgos que plantean estos sofisticados ataques basados en la nube.
Las fuentes de este artículo incluyen una historia de TheHackerNews.