ClickCease La CISA et le FBI mettent en garde contre la menace du logiciel malveillant AndroxGh0st

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La CISA et le FBI mettent en garde contre la menace du logiciel malveillant AndroxGh0st

Rohan Timalsina

Le 1er février 2024 - L'équipe d'experts de TuxCare

La CISA et le FBI ont publié conjointement une mise en garde contre la menace que représente le logiciel malveillant AndroxGh0st, mettant l'accent sur son utilisation pour établir un réseau de zombies pour "l'identification et l'exploitation des victimes au sein des réseaux cibles". Issu d'un rapport de Lacework datant de décembre 2022, AndroxGh0st, un logiciel malveillant basé sur Python, a donné naissance à des outils similaires tels que AlienFox, GreenBot (alias Maintance), Legion et Predator.

Cet outil d'attaque en nuage est capable de pénétrer dans des serveurs présentant des failles de sécurité connues afin d'accéder aux fichiers de l'environnement Laravel. Par la suite, il vole des informations d'identification pour des applications de premier plan comme AWS, Microsoft Office 365, SendGrid et Twilio. Les vulnérabilités notables exploitées par AndroxGh0st comprennent CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) et CVE-2018-15133 (Laravel Framework).

 

Capacités du logiciel malveillant AndroxGh0st

 

Lacework met en évidence les capacités d'AndroxGh0st à permettre des abus SMTP par le biais de l'analyse, de l'exploitation d'informations d'identification et d'API exposées, et du déploiement de shells web. En ce qui concerne spécifiquement AWS, le logiciel malveillant ne se contente pas de scanner et d'analyser les clés AWS, mais possède également la capacité de générer des clés pour des attaques par force brute.

Les informations d'identification AWS compromises sont utilisées pour créer de nouveaux utilisateurs, des politiques d'utilisation et, dans certains cas, pour configurer de nouvelles instances AWS en vue d'activités d'analyse malveillantes ultérieures. Ces fonctionnalités font du logiciel malveillant AndroxGh0st une menace redoutable capable de télécharger des charges utiles supplémentaires et de maintenir un accès persistant aux systèmes compromis.

Alex Delamotte, de SentinelLabs, note la rareté des avis sur les logiciels malveillants axés sur le cloud et félicite la CISA de s'être attaquée à ce type de menace. Cet avis fait suite à la révélation par SentinelOne d'un outil connexe mais distinct appelé FBot, utilisé par les attaquants pour pénétrer dans les serveurs web, les services en nuage, les CMS et les plateformes SaaS.

M. Delamotte insiste sur l'évolution du paysage des menaces liées à l'informatique en nuage, où des outils comme AlienFox et Legion intègrent le code d'AndroxGh0st et de FBot dans un écosystème holistique. Avec la monétisation des services en nuage, des outils sur mesure devraient voir le jour pour des services spécifiques, à l'instar de ceux qui ciblent les services de messagerie pour des attaques de spamming.

 

Dernières paroles

 

En conclusion, l'avis conjoint de la CISA et du FBI souligne le danger croissant que représentent le logiciel malveillant AndroxGh0st et ses dérivés. Parce qu'elles tirent parti de vulnérabilités connues, ces attaques nécessitent des mesures de cybersécurité proactives et une sensibilisation accrue, en particulier dans les environnements en nuage. Alors que le paysage continue d'évoluer, la collaboration et la sensibilisation restent cruciales pour atténuer les risques posés par ces attaques sophistiquées basées sur l'informatique en nuage.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
La CISA et le FBI mettent en garde contre la menace du logiciel malveillant AndroxGh0st
Nom de l'article
La CISA et le FBI mettent en garde contre la menace du logiciel malveillant AndroxGh0st
Description
Restez informé sur la menace croissante du logiciel malveillant AndroxGh0st. Découvrez comment cet outil d'attaque exploite des failles connues et vole des informations d'identification.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information