ABD’de, CISA ve FBI bugün, Androxgh0st kötü amaçlı yazılımını kullanan hackerların bulut kimlik bilgileri hırsızlığına odaklanan bir botnet oluşturduğu ve çalınan bilgileri ek kötü amaçlı yükleme yapmakta kullandığı konusunda uyardı. Bu botnet ilk olarak 2022 yılında Lacework Labs tarafından fark edildi ve Fortiguard Labs verilerine göre neredeyse bir yıl önce 40.000’den fazla cihazı kontrol ediyordu.
Uyarıda şöyle denildi :
“Androxgh0st, öncelikle çeşitli yüksek profilli uygulamalara (örn. Amazon Web Services [AWS], Microsoft Office 365, SendGrid ve Laravel web’den Twilio) ait kimlik bilgileri gibi gizli bilgiler içeren .env dosyalarını hedeflemek için kullanılan Python komut dosyasıyla yazılmış bir kötü amaçlı yazılımdır.”
“Androxgh0st kötü amaçlı yazılımı aynı zamanda, açıkta kalan kimlik bilgilerini ve uygulama programlama arayüzlerini (API’ler) tarama ve bunlardan yararlanma ve web kabuğu dağıtımı gibi Basit Posta Aktarım Protokolünü (SMTP) kötüye kullanabilen çok sayıda işlevi de destekliyor.”
Çalınan Twilio ve SendGrid kimlik bilgileri, tehdit aktörleri tarafından ihlal edilen şirketlerin kimliğine bürünerek spam kampanyaları yürütmek için kullanılabilir. Lacework’e göre,
“Kullanıma bağlı olarak AndroxGh0st, edinilen kimlik bilgilerine karşı iki temel işlevden birini gerçekleştirebilir. Bunlardan en sık gözlemleneni, hesabın spam için kullanılıp kullanılamayacağını değerlendirmek üzere e-posta gönderme sınırını kontrol etmektir.”
Saldırganların ayrıca ele geçirilen web sitelerinde sahte sayfalar oluşturdukları, bu sayfalara hassas bilgiler içeren veritabanlarına erişmeleri ve operasyonları için hayati önem taşıyan daha fazla kötü amaçlı araç dağıtmaları için bir arka kapı sağladığı da gözlemlendi.
Savunmasız bir web sitesindeki AWS kimlik bilgilerinin başarılı bir şekilde tanımlanması ve ele geçirilmesinin ardından, yeni kullanıcılar ve kullanıcı politikaları oluşturmayı da denediler. Ayrıca Andoxgh0st operatörleri, çalınan kimlik bilgilerini kullanarak internetteki diğer savunmasız hedefleri taramak amacıyla yeni AWS örneklerini çalıştırıyor.
Kaynak : 