AndroxGh0st: Malware nutzt SMTP-Dienste zur kritischen Datenausbeutung

Cyberkriminelle haben eine neue Methode entwickelt, um sensible Daten durch den Missbrauch von SMTP-Diensten mit der Malware AndroxGh0st zu extrahieren. AndroxGh0st, ursprünglich als SMTP-Cracker kategorisiert, zielt spezifisch auf Laravel-Anwendungen ab, indem es Login-Daten zu AWS und Twilio aus .env-Dateien extrahiert.

Diese Malware ist besonders für ihre Fähigkeit bekannt, unterschiedliche Strategien wie Credential-Exploitation, Web-Shell-Deployment und Schwachstellenscans einzusetzen. Ihr Hauptziel ist es, Hosts zu kompromittieren und kritische Daten aus Laravel-Anwendungen zu extrahieren.

Ein tiefgreifender Einblick in AndroxGh0st:

Junipers Berichte beleuchten die Vielseitigkeit von AndroxGh0st durch eine Auswahl an Funktionen, die in ihrem Menü hervorgehoben werden, wie „awslimitcheck“, „sengridcheck“, „twilio_sender“ und „exploit“.

• Die Funktion „awslimitcheck“ ermöglicht das Überprüfen von Kontolimits bei AWS.
• Mit „sendgridcheck“ lassen sich wichtige Details eines SendGrid API-Schlüssels abrufen.
• „Twilio_sender“ dient dem Versenden von SMS über die Twilio-API und überprüft Kontostatus und -guthaben.
• „Exploit“ nutzt eine Schwachstelle im PHPUnit-Testframework, um beliebigen PHP-Code auszuführen.

Herausforderungen und Hindernisse:

Trotz ihrer fortschrittlichen Funktionen steht AndroxGh0st vor Herausforderungen, wie der Notwendigkeit gültiger AWS-Credentials, der Boto3-Bibliothek, korrekter Konfiguration des AWS SES, eines gültigen SendGrid API-Schlüssels mit ausreichenden Berechtigungen und eines gültigen Twilio-Kontos mit ausreichendem Guthaben.

Die erfolgreiche Ausnutzung bestimmter Schwachstellen erfordert zudem detailliertes Wissen über anfällige URIs und das Geschick, Payloads zu konstruieren, die Sicherheitsmaßnahmen umgehen können.

Indikatoren einer Kompromittierung:

Zur Erleichterung der Erkennung und Abwehr von AndroxGh0st hat SentinelLabs Hashes der Malware sowie betroffene IP-Adressen veröffentlicht. Die Malware zielt auf eine breite Palette von Geräten und Systemen ab, insbesondere solche, die auf Embedded-Linux-Distributionen basieren.

Dieser Vorstoß unterstreicht die Notwendigkeit für Organisationen, ihre Sicherheitsmaßnahmen ständig zu überdenken und zu verbessern, um gegen solche fortschrittlichen Bedrohungen gewappnet zu sein.