Ботнет Androxgh0st ворует учетные данные от аккаунтов AWS и Microsoft Агентство по кибербезопасности и защите инфраструктуры США (CISA) и ФБР выпустили совместное предупреждение о
малвари Androxgh0st, создающей
ботнет, который используется для дальнейших атак на уязвимые сети.
Известно, что
малварь Androxgh0st написана на
Python и впервые была обнаружена компанией Lacework еще в декабре 2022 года. Этот инструмент для облачных атак способен проникать на серверы, уязвимым перед известными багами, получать доступ к файлам среды
Laravel и похищать учетные данные для Amazon Web Services (AWS), Microsoft Office 365,
SendGrid и Twilio.
Также сообщается, что
вредонос может злоупотреблять SMTP для сканирования, эксплуатации украденных учетных данных и API, а также развертывания веб-шеллов.
Так,
ботнет Androxgh0st ищет сайты, использующие фреймворк Laravel, а также открытые файлы
env корневого уровня, содержащие учетные данные для дополнительных сервисов. Затем операторы малвари отправляют запросы на получение конфиденциальной информации,
хранящейся в этих файлах.
