Androxgh0st, una botnet rischiosa, utilizza vulnerabilità note per realizzare attacchi sofisticati.
La crescente ondata di pericoli informatici viene costantemente monitorata da organizzazioni governative come la Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI, che di recente hanno lanciato un allarme riguardo a un particolare malware chiamato Androxgh0st. Questo software malevolo ha la capacità di infettare le reti attraverso falle già note, e si sta diffondendo con un metodo di attacco che leva vantaggio da vulnerabilità passate.
Emergendo inizialmente nei radar di esperti in cyber security nel dicembre 2022, Androxgh0st ha mostrato una pericolosa abilità nel perpetrare attacchi mirati a server vulnerabili, specialmente quelli che operano su ambienti Laravel. Utilizzando queste vulnerabilità, il malware è in grado di sottrarre informazioni riservate quali credenziali di accesso di servizi largamente adottati come Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio.
Gli attacchi perpetrati da Androxgh0st non si limitano alla sola estrazione di dati, ma prevedono anche l’abuso del protocollo SMTP per le fasi di scansione, sfruttamento di credenziali rubate e l’implementazione di shell web con lo scopo di amplificare i danni e l’intrusione nei sistemi colpiti. Le indagini rivelano che l’azione del malware può concedere accesso backdoor e l’installazione di altri file malevoli, compromettendo ulteriormente la sicurezza delle infrastrutture digitali.
Impiega attivamente vulnerabilità come la CVE-2018-15133 in Laravel, la CVE-2021-41773 nelle versioni di Apache HTTP Server 2.4.49 e 2.4.50, e la CVE-2017-9841 in PHPUnit. Queste falle, nonostante siano state corrette, rimangono un punto di ingresso per Androxgh0st sui sistemi che non hanno ancora applicato gli aggiornamenti necessari.
La botnet ha un’apparente preferenza per i siti che utilizzano il framework Laravel, andando alla ricerca di file .env aperti che possano contenere credenziali di altri servizi. Attraverso queste informazioni, Androxgh0st può eseguire azioni fraudolente come la creazione di nuovi utenti e policy su AWS, o persino implementare nuove istanze che vengono successivamente utilizzate per nuove scansioni e attacchi.
Data la gravità della minaccia, è fondamentale che le organizzazioni aggiornino regolarmente i propri sistemi e applichino patch di sicurezza per le vulnerabilità note. Il rischio di attacchi da botnet come Androxgh0st dimostra ancora una volta l’importanza di implementare rigide politiche di cyber security e di mantenere un’attenta vigilanza sulle potenziali breccie informatiche.
- La botnet Androxgh0st continua a sfruttare vulnerabilità legacy per infiltrarsi nelle reti.
- Esperti in sicurezza informatica enfatizzano l’urgenza di aggiornamenti e patch di sicurezza.
Per proteggere da minacce come Androxgh0st, è cruciale adottare misure proattive e instaurare una cultura di sicurezza all’interno delle organizzazioni che preveda una formazione regolare sui rischi e sulle best practices per la protezione dei dati sensibili.