Federaller, AWS, Azure ve Office 365 Kimlik Bilgilerini Hedefleyen AndroxGh0st Botnet'i Uyardı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), AndroxGh0st kötü amaçlı yazılımını dağıtan tehdit aktörlerinin "hedef ağlarda kurban tanımlama ve istismar" için bir botnet oluşturduğu konusunda uyardı.

Python tabanlı bir kötü amaçlı yazılım olan AndroxGh0st, ilk olarak Aralık 2022'de Lacework tarafından belgelendi ve kötü amaçlı yazılım AlienFox, GreenBot (diğer adıyla Maintance), Legion ve Predator gibi birçok benzer araca ilham verdi.

Bulut saldırı aracı, Laravel ortam dosyalarına erişmek ve Amazon Web Services (AWS), Microsoft Office 365, SendGrid ve Twilio gibi yüksek profilli uygulamaların kimlik bilgilerini çalmak için bilinen güvenlik açıklarına karşı savunmasız sunuculara sızabilir.

Saldırganlar tarafından silahlandırılan dikkate değer kusurlardan bazıları arasında CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Sunucusu) ve CVE-2018-15133 (Laravel Çerçevesi) yer alıyor.

Lacework, "AndroxGh0st, tarama, açıkta kalan cred'lerin ve API'lerin istismarı ve hatta web kabuklarının konuşlandırılması dahil olmak üzere SMTP kötüye kullanımını etkinleştirmek için birçok özelliğe sahiptir" dedi. "Özellikle AWS için, kötü amaçlı yazılım AWS anahtarlarını tarar ve ayrıştırır, ancak aynı zamanda kaba kuvvet saldırıları için anahtar oluşturma yeteneğine de sahiptir."

Güvenliği ihlal edilen AWS kimlik bilgileri daha sonra yeni kullanıcılar ve kullanıcı politikaları oluşturmak için kullanılır ve bazı örneklerde ek, kötü amaçlı tarama etkinliği için yeni AWS bulut sunucuları ayarlar.

Bu özellikler, AndroxGh0st'ı ek yükler indirmek ve güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için kullanılabilecek güçlü bir tehdit haline getirir.

SentinelLabs'ın kıdemli tehdit araştırmacısı Alex Delamotte, verdiği bir demeçte, "AndroxGh0st tutarlı bir baş belası: ağ bağlantılarında balküplerimizi tarayan ilgili kullanıcı aracısı dizilerini düzenli olarak görüyoruz" dedi. "Bulut odaklı kötü amaçlı yazılım tavsiyeleri nadir olduğu için CISA'nın bu tür tehditlere karşı bir tavsiye yayınladığını görmek harika."

Gelişme, SentinelOne'ın saldırganlar tarafından web sunucularını, bulut hizmetlerini, içerik yönetim sistemlerini (CMS) ve SaaS platformlarını ihlal etmek için kullanılan FBot adlı ilgili ancak farklı bir aracı ortaya çıkarmasından bir haftadan kısa bir süre sonra geldi.

Delamotte, "Bulut tehdidi ortamı, diğer araçlardan kod ödünç almaya ve bunları bütünsel bir ekosisteme entegre etmeye devam edecek, bu da AlienFox ve Legion'un sırasıyla AndroxGh0st ve FBot ile yaptığı şey" dedi.

"Aktörler bulut hizmetlerinden para kazanmanın yeni yollarını buldukça, bu araçların spam saldırıları gerçekleştirmek için posta hizmetlerinden yararlanmaya odaklanması gibi, bu hizmetler için özel araçların ortaya çıkmasını bekleyebiliriz."

Ayrıca, NETSCOUT'un Kasım 2023'ün ortasından bu yana botnet tarama etkinliğinde önemli bir artış olduğuna dair bir uyarısını takip ediyor ve 5 Ocak 2024'te yaklaşık 1,3 milyon farklı cihazın zirvesine dokunuyor. Kaynak IP adreslerinin çoğu ABD, Çin, Vietnam, Tayvan ve Rusya ile ilişkilidir.

Şirket, "Etkinliğin analizi, saldırganların botnet fırlatma rampaları oluşturmak için kullandıkları ucuz veya ücretsiz bulut ve barındırma sunucularının kullanımında bir artış olduğunu ortaya çıkardı" dedi. "Bu sunucular, anonimlik ve minimum ek yük sağlayan denemeler, ücretsiz hesaplar veya düşük maliyetli hesaplar aracılığıyla kullanılıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.