Cyberkriminelle haben eine neue Methode entwickelt, um sensible Daten durch den Missbrauch von SMTP-Diensten mit der Malware AndroxGh0st zu extrahieren. AndroxGh0st, ursprünglich als SMTP-Cracker kategorisiert, zielt spezifisch auf Laravel-Anwendungen ab, indem es Login-Daten zu AWS und Twilio aus .env-Dateien extrahiert.
Diese Malware ist besonders für ihre Fähigkeit bekannt, unterschiedliche Strategien wie Credential-Exploitation, Web-Shell-Deployment und Schwachstellenscans einzusetzen. Ihr Hauptziel ist es, Hosts zu kompromittieren und kritische Daten aus Laravel-Anwendungen zu extrahieren.
Ein tiefgreifender Einblick in AndroxGh0st:
Junipers Berichte beleuchten die Vielseitigkeit von AndroxGh0st durch eine Auswahl an Funktionen, die in ihrem Menü hervorgehoben werden, wie „awslimitcheck“, „sengridcheck“, „twilio_sender“ und „exploit“.
- Die Funktion „awslimitcheck“ ermöglicht das Überprüfen von Kontolimits bei AWS.
- Mit „sendgridcheck“ lassen sich wichtige Details eines SendGrid API-Schlüssels abrufen.
- „Twilio_sender“ dient dem Versenden von SMS über die Twilio-API und überprüft Kontostatus und -guthaben.
- „Exploit“ nutzt eine Schwachstelle im PHPUnit-Testframework, um beliebigen PHP-Code auszuführen.
Herausforderungen und Hindernisse:
Trotz ihrer fortschrittlichen Funktionen steht AndroxGh0st vor Herausforderungen, wie der Notwendigkeit gültiger AWS-Credentials, der Boto3-Bibliothek, korrekter Konfiguration des AWS SES, eines gültigen SendGrid API-Schlüssels mit ausreichenden Berechtigungen und eines gültigen Twilio-Kontos mit ausreichendem Guthaben.
Die erfolgreiche Ausnutzung bestimmter Schwachstellen erfordert zudem detailliertes Wissen über anfällige URIs und das Geschick, Payloads zu konstruieren, die Sicherheitsmaßnahmen umgehen können.
Indikatoren einer Kompromittierung:
Zur Erleichterung der Erkennung und Abwehr von AndroxGh0st hat SentinelLabs Hashes der Malware sowie betroffene IP-Adressen veröffentlicht. Die Malware zielt auf eine breite Palette von Geräten und Systemen ab, insbesondere solche, die auf Embedded-Linux-Distributionen basieren.
Dieser Vorstoß unterstreicht die Notwendigkeit für Organisationen, ihre Sicherheitsmaßnahmen ständig zu überdenken und zu verbessern, um gegen solche fortschrittlichen Bedrohungen gewappnet zu sein.