الروبوتات AndroxGh0st

أصدرت CISA ومكتب التحقيقات الفيدرالي تحذيرًا مشتركًا بشأن أنشطة الجهات الفاعلة في مجال التهديد باستخدام البرامج الضارة Androxgh0st، والتي تعمل بنشاط على إنشاء شبكة الروبوتات مع التركيز بشكل خاص على سرقة بيانات الاعتماد السحابية. تستفيد هذه الجهات الخبيثة من المعلومات التي تم جمعها لنشر حمولات ضارة إضافية. تم اكتشاف شبكة الروبوتات هذه في البداية من قبل باحثين في مجال الأمن السيبراني في عام 2022، وكانت قد تمكنت بالفعل من السيطرة على أكثر من 40 ألف جهاز في ذلك الوقت.

تتضمن طريقة عمل شبكة الروبوت هذه البحث عن نقاط الضعف في مواقع الويب والخوادم المعرضة لتنفيذ التعليمات البرمجية عن بُعد (RCE). ومن الجدير بالذكر أن الجهات الفاعلة في مجال التهديد تستهدف نقاط ضعف محددة، وهي CVE-2017-9841 (المرتبطة بإطار اختبار وحدة PHPUnit)، وCVE-2021-41773 (المرتبط بخادم Apache HTTP)، وCVE-2018-15133 (المرتبطة بـ Laravel). إطار عمل الويب PHP). ومن خلال استغلال نقاط الضعف هذه، تعمل البرمجيات الخبيثة Androxgh0st على تسهيل الوصول غير المصرح به وتمكين سرقة بيانات الاعتماد السحابية، مما يشكل خطرًا كبيرًا على الأمن السيبراني.

تستهدف البرامج الضارة AndroxGh0st البيانات الحساسة الموجودة على الأجهزة المخترقة

تم تصميم Androxgh0st، وهو برنامج ضار مكتوب بلغة Python، في المقام الأول لاستهداف ملفات .env التي تخزن معلومات سرية، بما في ذلك بيانات اعتماد التطبيقات رفيعة المستوى مثل Amazon Web Services (AWS) وMicrosoft Office 365 وSendGrid وTwilio ضمن إطار تطبيق Laravel Web. .

تتميز هذه البرامج الضارة بوظائف متنوعة، مما يتيح إساءة استخدام بروتوكول نقل البريد البسيط (SMTP). يمكنه فحص واستغلال بيانات الاعتماد المكشوفة وواجهات برمجة التطبيقات (APIs)، بالإضافة إلى نشر أغلفة الويب. يتيح اختراق بيانات اعتماد Twilio وSendGrid للجهات الفاعلة في مجال التهديد تنظيم حملات البريد العشوائي وانتحال صفة الشركات المخترقة.

اعتمادا على تطبيقه، يعرض AndroxGh0st وظيفتين أساسيتين مقابل بيانات الاعتماد المكتسبة. يتضمن الأمر الأكثر ملاحظة التحقق من حد إرسال البريد الإلكتروني للحساب المخترق لتحديد مدى ملاءمته لأغراض إرسال البريد العشوائي.

وقد أثبت المهاجمون أيضًا إنشاء صفحات مزيفة على مواقع الويب المخترقة، مما أدى إلى إنشاء باب خلفي للوصول إلى قواعد البيانات التي تحتوي على معلومات حساسة. يتم استخدام هذا الوصول لنشر أدوات تهديد إضافية ضرورية لعملياتهم. في الحالات التي تم فيها تحديد بيانات اعتماد AWS بنجاح واختراقها على مواقع الويب الضعيفة، حاول المهاجمون إنشاء مستخدمين وسياسات مستخدم جديدة.

علاوة على ذلك، يستفيد مشغلو Andoxgh0st من بيانات الاعتماد المسروقة لبدء مثيلات AWS جديدة، مما يسمح لهم بالبحث عن أهداف معرضة للخطر إضافية عبر الإنترنت كجزء من عملياتهم المستمرة.

كيفية منع هجمات البرامج الضارة المحتملة Andoxgh0st؟

للتخفيف من تأثير هجمات البرامج الضارة Androxgh0st وتقليل مخاطر الاختراق، يُنصح المدافعون عن الشبكة بتنفيذ الإجراءات التالية:

• حافظ على تحديث الأنظمة : تأكد من تحديث جميع أنظمة التشغيل والبرامج والبرامج الثابتة بانتظام. وعلى وجه التحديد، تأكد من أن خوادم Apache لا تقوم بتشغيل الإصدارات 2.4.49 أو 2.4.50.
• تكوين URI : تأكد من تعيين التكوين الافتراضي لجميع معرفات الموارد الموحدة (URI) على رفض جميع الطلبات ما لم تكن هناك حاجة محددة ومبررة لإمكانية الوصول.
• إعدادات تطبيق Laravel : تأكد من أن أي تطبيقات Laravel المباشرة ليست في وضع "التصحيح" أو الاختبار. قم بإزالة بيانات الاعتماد السحابية من ملفات .env وقم بإبطالها. قم بإجراء مراجعة لمرة واحدة لبيانات اعتماد السحابة المخزنة مسبقًا وإجراء مراجعات مستمرة لأنواع بيانات الاعتماد الأخرى التي لا يمكن إزالتها.
• فحص نظام الملفات : فحص نظام ملفات الخادم بحثًا عن ملفات PHP غير المعروفة، مع إيلاء اهتمام خاص للدليل الجذر والمجلد /vendor/phpunit/phpunit/src/Util/PHP.
• طلبات GET الصادرة : قم بمراجعة طلبات GET الصادرة، خاصة تلك التي تستخدم أوامر cURL، إلى مواقع استضافة الملفات مثل GitHub أو Pastebin. انتبه بشكل خاص عندما يصل الطلب إلى ملف .php.

قامت CISA بتحديث كتالوج الثغرات الأمنية المستغلة المعروفة بناءً على أدلة الاستغلال النشط. تمت إضافة إلغاء تسلسل CVE-2018-15133 Laravel لثغرة البيانات غير الموثوق بها، في حين تم تضمين ثغرات CVE-2021-41773 Apache HTTP Server اجتياز مسار وثغرات حقن أوامر CVE-2017-9841 PHPUnit في نوفمبر 2021 وفبراير 2022، على التوالي. تهدف هذه الإضافات إلى تعزيز الوعي واتخاذ إجراءات استباقية سريعة ضد نقاط الضعف المعروفة المرتبطة بـ Androxgh0st.