AndroxGh0st ботнет

CISA и ФБР съвместно издадоха предупреждение относно дейностите на заплахи, използващи зловреден софтуер Androxgh0st, които активно изграждат ботнет със специфичен фокус върху кражбата на облачни идентификационни данни. Тези злонамерени участници използват събраната информация, за да разположат допълнителни вредни полезни товари. Първоначално открит от изследователи по киберсигурност през 2022 г., този ботнет вече е получил контрол над повече от 40 000 устройства по това време.

Начинът на действие на този ботнет включва сканиране за уязвимости в уебсайтове и сървъри, податливи на дистанционно изпълнение на код (RCE). По-специално, участниците в заплахата са насочени към специфични уязвимости, а именно CVE-2017-9841 (свързана с рамката за тестване на единица PHPUnit), CVE-2021-41773 (свързана с HTTP сървъра на Apache) и CVE-2018-15133 (свързана с Laravel PHP уеб рамка). Използвайки тези уязвимости, зловреден софтуер Androxgh0st улеснява неоторизиран достъп и позволява кражба на идентификационни данни в облака, което представлява значителен риск за киберсигурността.

Злонамереният софтуер AndroxGh0st е насочен към чувствителни данни на нарушени устройства

Androxgh0st, скриптиран на Python злонамерен софтуер, е предназначен основно за насочване към .env файлове, които съхраняват поверителна информация, включително идентификационни данни за високопрофилни приложения като Amazon Web Services (AWS), Microsoft Office 365, SendGrid и Twilio в рамката на уеб приложението Laravel .

Този зловреден софтуер може да се похвали с различни функционалности, позволяващи злоупотреба с Simple Mail Transfer Protocol (SMTP). Той може да сканира и използва откритите идентификационни данни и интерфейси за програмиране на приложения (API), както и да разгръща уеб обвивки. Компромисът на идентификационните данни на Twilio и SendGrid позволява на участниците в заплахите да организират спам кампании, представяйки се за нарушените компании.

В зависимост от приложението си, AndroxGh0st показва две основни функции срещу придобитите идентификационни данни. По-често наблюдаваният включва проверка на ограничението за изпращане на имейл на компрометирания акаунт, за да се определи неговата пригодност за спам цели.

Нападателите също демонстрираха създаването на фалшиви страници на компрометирани уебсайтове, създавайки задна врата за достъп до бази данни, съдържащи чувствителна информация. Този достъп се използва за внедряване на допълнителни заплашителни инструменти, които са от решаващо значение за техните операции. В случаите, когато идентификационните данни на AWS са успешно идентифицирани и компрометирани на уязвими уебсайтове, нападателите са се опитали да създадат нови потребители и потребителски политики.

Освен това операторите на Andoxgh0st използват откраднати идентификационни данни, за да инициират нови екземпляри на AWS, което им позволява да сканират за допълнителни уязвими цели в интернет като част от техните текущи операции.

Как да предотвратим потенциалните атаки на злонамерен софтуер Andoxgh0st?

За смекчаване на въздействието на злонамерените атаки на Androxgh0st и минимизиране на риска от компрометиране, мрежовите защитници се съветват да приложат следните мерки:

• Поддържайте системите актуализирани : Уверете се, че всички операционни системи, софтуер и фърмуер се актуализират редовно. По-конкретно, проверете дали сървърите на Apache не работят с версии 2.4.49 или 2.4.50.
• Конфигурация на URI : Потвърдете, че конфигурацията по подразбиране за всички унифицирани идентификатори на ресурси (URI) е настроена да отказва всички заявки, освен ако няма конкретна и оправдана нужда от достъпност.
• Настройки на приложението на Laravel : Уверете се, че всички активни приложения на Laravel не са в режим на отстраняване на грешки или тестване. Премахнете облачните идентификационни данни от .env файлове и ги отменете. Извършете еднократен преглед на предварително съхранени идентификационни данни в облака и извършвайте текущи прегледи за други типове идентификационни данни, които не могат да бъдат премахнати.
• Сканиране на файловата система : Сканирайте файловата система на сървъра за неразпознати PHP файлове, като обърнете специално внимание на основната директория и папката /vendor/phpunit/phpunit/src/Util/PHP.
• Изходящи GET заявки : Прегледайте изходящите GET заявки, особено тези, използващи cURL команди, към сайтове за хостване на файлове като GitHub или Pastebin. Обърнете специално внимание, когато заявката има достъп до .php файл.

CISA актуализира своя каталог с известни експлоатирани уязвимости въз основа на доказателства за активно използване. Уязвимостта CVE-2018-15133 Laravel за десериализация на ненадеждни данни беше добавена, докато CVE-2021-41773 Apache HTTP Server traversal path traversal и CVE-2017-9841 PHPUnit command injection уязвимостите бяха включени съответно през ноември 2021 г. и февруари 2022 г. Тези допълнения имат за цел да повишат осведомеността и да наложат проактивни мерки срещу известни уязвимости, свързани с Androxgh0st.