ClickCease El CISA y el FBI advierten de la amenaza del malware AndroxGh0st

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El CISA y el FBI advierten de la amenaza del malware AndroxGh0st

Rohan Timalsina

1 de febrero de 2024 - Equipo de expertos TuxCare

El CISA y el FBI han emitido conjuntamente una advertencia sobre la amenaza que supone el malware AndroxGh0st, haciendo hincapié en su uso en el establecimiento de una botnet para "la identificación de víctimas y la explotación dentro de las redes objetivo." Con origen en un informe de Lacework de diciembre de 2022, AndroxGh0st, un malware basado en Python, ha generado herramientas similares como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator.

Esta herramienta de ataque a la nube es experta en vulnerar servidores con vulnerabilidades de seguridad conocidas para acceder a los archivos de entorno de Laravel. Posteriormente, roba credenciales para aplicaciones de alto perfil como AWS, Microsoft Office 365, SendGrid y Twilio. Entre las vulnerabilidades más destacadas explotadas por AndroxGh0st se encuentran CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Laravel Framework).

 

Capacidades del malware AndroxGh0st

 

Lacework destaca las capacidades de AndroxGh0st para permitir el abuso de SMTP a través del escaneo, la explotación de credenciales y API expuestas, y el despliegue de web shells. Específicamente para AWS, el malware no solo escanea y analiza las claves de AWS, sino que también posee la capacidad de generar claves para ataques de fuerza bruta.

Las credenciales comprometidas de AWS se utilizan para crear nuevos usuarios, políticas de usuario y, en algunos casos, configurar nuevas instancias de AWS para otras actividades de análisis malicioso. Estas funcionalidades convierten al malware AndroxGh0st en una amenaza formidable capaz de descargar cargas útiles adicionales y mantener un acceso persistente a los sistemas comprometidos.

Alex Delamotte, de SentinelLabs, señala la rareza de los avisos de malware centrados en la nube y elogia a CISA por abordar este tipo de amenaza. Este aviso sigue a la revelación de SentinelOne de una herramienta relacionada pero distinta llamada FBot, utilizada por los atacantes para violar servidores web, servicios en la nube, CMS y plataformas SaaS.

Delamotte destaca la evolución del panorama de las amenazas en la nube, donde herramientas como AlienFox y Legion integran código de AndroxGh0st y FBot en un ecosistema holístico. A medida que los servicios en la nube sigan monetizándose, se espera que surjan herramientas a medida para servicios específicos, similares a las que se dirigen a los servicios de correo para ataques de spam.

 

Palabras finales

 

En conclusión, el aviso conjunto de CISA y el FBI subraya el creciente peligro que supone el malware AndroxGh0st y sus derivados. Debido a su énfasis en aprovechar vulnerabilidades conocidas, estos ataques requieren medidas proactivas de ciberseguridad y una mayor concienciación, especialmente en entornos de nube. A medida que el panorama sigue evolucionando, la colaboración y la concienciación siguen siendo cruciales para mitigar los riesgos que plantean estos sofisticados ataques basados en la nube.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
El CISA y el FBI advierten de la amenaza del malware AndroxGh0st
Nombre del artículo
El CISA y el FBI advierten de la amenaza del malware AndroxGh0st
Descripción
Manténgase informado sobre la creciente amenaza del malware AndroxGh0st. Descubra cómo esta herramienta de ataque a la nube aprovecha fallos conocidos y roba credenciales.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín