La La Cybersecurity and Infrastructure Security Agency (CISA) et le FBI invitent les organisations à mettre en œuvre des mesures d'atténuation afin de limiter le risque d’incidents de cybersécurité causés par le logiciel malveillant Androxgh0st.
La CISA et le Federal Bureau of Investigation (FBI) ont donné l’alerte dans un avis conjoint de cybersécurité. Un botnet alimenté par le logiciel malveillant Androxgh0st ferait la chasse aux identifiants de connexions et autres fichiers sensibles.
Androxgh0st est un malware scripté en Python utilisé pour cibler les fichiers .env qui contiennent des informations confidentielles, telles que les informations d'identification permettant d’accéder à des applications de haut niveau, comme Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio.
« Le malware Androxgh0st prend également en charge de nombreuses fonctions capables d'abuser du protocole SMTP (Simple Mail Transfer Protocol), telles que l'analyse et l'exploitation des informations d'identification exposées et des interfaces de programmation d'application (API), ainsi que le déploiement de shell Web », décryptent les recherches.
Voler des données, mais pas seulement
Le malware a été observé exploitant des vulnérabilités pouvant permettre aux acteurs malveillants d’exécuter du code à distance. Les vulnérabilités concernées sont : CVE-2017-9841 (commande d'unité PHP), CVE-2021-41773 (versions du serveur HTTP Apache) et CVE-2018-15133 (applications Laravel).
En plus d’utiliser des identifiants pour accéder à des données sensibles, le CISA et le FBI ont observé des cas où les cyberattaquants ont mené d’autres opérations malveillantes une fois entrés dans le système. « Lorsque des acteurs malveillants parviennent à identifier et à compromettre les informations d'identification AWS d'un site Web vulnérable, ils ont été observés en train de tenter de créer de nouveaux utilisateurs et de nouvelles politiques d’utilisateurs », expliquent-ils. Un autre exemple est que certains cybercriminels ont tenté de créer de nouvelles instances AWS afin de mener d’autres activités d’analyse.