Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI) cảnh báo rằng các tác nhân đe dọa triển khai phần mềm độc hại AndroxGh0st đang tạo ra một mạng botnet để "xác định và khai thác nạn nhân trong các mạng mục tiêu".
Là một phần mềm độc hại dựa trên Python, AndroxGh0st lần đầu tiên được Lacework ghi nhận vào tháng 12/2022, với phần mềm độc hại truyền cảm hứng cho một số công cụ tương tự như AlienFox, GreenBot (hay còn gọi là Maintance), Legion và Predator.
Công cụ tấn công đám mây có khả năng xâm nhập vào các máy chủ dễ bị lỗ hổng bảo mật đã biết để truy cập các tệp môi trường Laravel và đánh cắp thông tin đăng nhập cho các ứng dụng cao cấp như Amazon Web Services (AWS), Microsoft Office 365, SendGrid và Twilio.
Một số lỗ hổng đáng chú ý được vũ khí hóa bởi những kẻ tấn công bao gồm CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) và CVE-2018-15133 (Laravel Framework).
"AndroxGh0st có nhiều tính năng để cho phép lạm dụng SMTP bao gồm quét, khai thác các tín dụng và API bị lộ và thậm chí triển khai các trình bao web", Lacework nói. "Đặc biệt đối với AWS, phần mềm độc hại quét và phân tích cú pháp các khóa AWS nhưng cũng có khả năng tạo khóa cho các cuộc tấn công brute-force."
Các tính năng này làm cho AndroxGh0st trở thành một mối đe dọa mạnh mẽ có thể được sử dụng để tải xuống các tải trọng bổ sung và duy trì quyền truy cập liên tục vào các hệ thống bị xâm nhập.
Sự phát triển đến chưa đầy một tuần sau khi SentinelOne tiết lộ một công cụ liên quan nhưng khác biệt được gọi là FBot đang được những kẻ tấn công sử dụng để vi phạm các máy chủ web, dịch vụ đám mây, hệ thống quản lý nội dung (CMS) và nền tảng SaaS.
Nó cũng theo sau một cảnh báo từ NETSCOUT về sự gia tăng đáng kể trong hoạt động quét botnet kể từ giữa tháng 11/2023, chạm mức cao nhất gần 1,3 triệu thiết bị riêng biệt vào ngày 5/1/2024. Phần lớn các địa chỉ IP nguồn được liên kết với Hoa Kỳ, Trung Quốc, Việt Nam, Đài Loan và Nga.
"Phân tích hoạt động đã phát hiện ra sự gia tăng trong việc sử dụng các máy chủ lưu trữ và đám mây giá rẻ hoặc miễn phí mà những kẻ tấn công đang sử dụng để tạo ra các bệ phóng botnet", công ty cho biết. "Các máy chủ này được sử dụng thông qua các bản dùng thử, tài khoản miễn phí hoặc tài khoản chi phí thấp, cung cấp tính ẩn danh và chi phí tối thiểu để duy trì."
Thuê Botnet Tại Đây : Dịch Vụ Cho Thuê Ddos Của Mạng Botnet Faghost