AndroxGh0st বটনেট

CISA এবং FBI যৌথভাবে Androxgh0st ম্যালওয়্যার ব্যবহার করে হুমকি অভিনেতাদের কার্যকলাপ সম্পর্কে একটি সতর্কতা জারি করেছে, যারা সক্রিয়ভাবে ক্লাউড শংসাপত্র চুরির উপর একটি নির্দিষ্ট ফোকাস দিয়ে একটি বটনেট তৈরি করছে৷ এই দুষ্টু অভিনেতারা অতিরিক্ত ক্ষতিকারক পেলোড স্থাপন করতে সংগৃহীত তথ্য ব্যবহার করে। প্রাথমিকভাবে 2022 সালে সাইবারসিকিউরিটি গবেষকদের দ্বারা সনাক্ত করা হয়েছিল, এই বটনেটটি ইতিমধ্যে 40,000 টিরও বেশি ডিভাইসের উপর নিয়ন্ত্রণ অর্জন করেছিল।

এই বটনেটের মোডাস অপারেন্ডিতে রিমোট কোড এক্সিকিউশন (RCE) এর জন্য সংবেদনশীল ওয়েবসাইট এবং সার্ভারের দুর্বলতার জন্য স্ক্যান করা জড়িত। উল্লেখযোগ্যভাবে, হুমকি অভিনেতারা নির্দিষ্ট দুর্বলতাকে লক্ষ্য করে, যথা CVE-2017-9841 (PHPUnit ইউনিট টেস্টিং ফ্রেমওয়ার্কের সাথে যুক্ত), CVE-2021-41773 (Apache HTTP সার্ভারের সাথে সংযুক্ত), এবং CVE-2018-15133 (লারাভেলের সাথে সম্পর্কিত। পিএইচপি ওয়েব ফ্রেমওয়ার্ক)। এই দুর্বলতাগুলিকে কাজে লাগিয়ে, Androxgh0st ম্যালওয়্যার অননুমোদিত অ্যাক্সেসের সুবিধা দেয় এবং ক্লাউড শংসাপত্র চুরি করতে সক্ষম করে, যা একটি উল্লেখযোগ্য সাইবার নিরাপত্তা ঝুঁকি তৈরি করে।

AndroxGh0st ম্যালওয়্যার লঙ্ঘিত ডিভাইসে সংবেদনশীল ডেটা লক্ষ্য করে

Androxgh0st, একটি পাইথন-স্ক্রিপ্টেড ম্যালওয়্যার, প্রাথমিকভাবে Laravel ওয়েব অ্যাপ্লিকেশন কাঠামোর মধ্যে Amazon Web Services (AWS), Microsoft Office 365, SendGrid এবং Twilio-এর মতো হাই-প্রোফাইল অ্যাপ্লিকেশনগুলির জন্য শংসাপত্র সহ গোপনীয় তথ্য সঞ্চয় করে এমন .env ফাইলগুলিকে লক্ষ্য করার জন্য ডিজাইন করা হয়েছে। .

এই ম্যালওয়্যারটি সিম্পল মেল ট্রান্সফার প্রোটোকল (SMTP) এর অপব্যবহার সক্ষম করে বিভিন্ন কার্যকারিতা নিয়ে গর্ব করে। এটি উন্মুক্ত শংসাপত্র এবং অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (APIs) স্ক্যান এবং শোষণ করতে পারে, পাশাপাশি ওয়েব শেল স্থাপন করতে পারে। Twilio এবং SendGrid শংসাপত্রের আপস হুমকি অভিনেতাদের স্প্যাম প্রচারাভিযান অর্কেস্ট্রেট করার অনুমতি দেয়, লঙ্ঘন করা কোম্পানিগুলির ছদ্মবেশী করে৷

এর প্রয়োগের উপর নির্ভর করে, AndroxGh0st অর্জিত শংসাপত্রের বিরুদ্ধে দুটি প্রাথমিক ফাংশন প্রদর্শন করে। স্প্যামিংয়ের উদ্দেশ্যে এটির উপযুক্ততা নির্ধারণের জন্য আপস করা অ্যাকাউন্টের ইমেল পাঠানোর সীমা পরীক্ষা করা আরও ঘন ঘন পর্যবেক্ষণ করা হয়।

আক্রমণকারীরা সংবেদনশীল তথ্য সম্বলিত ডাটাবেস অ্যাক্সেস করার জন্য একটি ব্যাকডোর স্থাপন করে, আপোস করা ওয়েবসাইটগুলিতে জাল পৃষ্ঠা তৈরিরও প্রদর্শন করেছে। এই অ্যাক্সেস তাদের ক্রিয়াকলাপগুলির জন্য গুরুত্বপূর্ণ অতিরিক্ত হুমকিমূলক সরঞ্জাম স্থাপন করতে ব্যবহার করা হয়। দৃষ্টান্তগুলিতে যেখানে AWS শংসাপত্রগুলি সফলভাবে চিহ্নিত করা হয়েছে এবং দুর্বল ওয়েবসাইটগুলিতে আপস করা হয়েছে, আক্রমণকারীরা নতুন ব্যবহারকারী এবং ব্যবহারকারী নীতি তৈরি করার চেষ্টা করেছে৷

অধিকন্তু, Andoxgh0st অপারেটররা নতুন AWS দৃষ্টান্ত শুরু করার জন্য চুরি হওয়া শংসাপত্রগুলিকে লিভারেজ করে, যা তাদের চলমান ক্রিয়াকলাপের অংশ হিসাবে ইন্টারনেট জুড়ে অতিরিক্ত দুর্বল লক্ষ্যগুলির জন্য স্ক্যান করার অনুমতি দেয়।

কিভাবে সম্ভাব্য Andoxgh0st ম্যালওয়্যার আক্রমণ প্রতিরোধ করবেন?

Androxgh0st ম্যালওয়্যার আক্রমণের প্রভাব প্রশমিত করতে এবং আপসের ঝুঁকি কমাতে, নেটওয়ার্ক ডিফেন্ডারদের নিম্নলিখিত ব্যবস্থাগুলি বাস্তবায়ন করার পরামর্শ দেওয়া হচ্ছে:

• সিস্টেম আপডেট রাখুন : নিশ্চিত করুন যে সমস্ত অপারেটিং সিস্টেম, সফ্টওয়্যার এবং ফার্মওয়্যার নিয়মিত আপডেট করা হয়। বিশেষভাবে, যাচাই করুন যে Apache সার্ভার 2.4.49 বা 2.4.50 সংস্করণ চলছে না।
• ইউআরআই কনফিগারেশন : নিশ্চিত করুন যে সমস্ত ইউনিফর্ম রিসোর্স আইডেন্টিফায়ার (ইউআরআই) এর জন্য ডিফল্ট কনফিগারেশন সমস্ত অনুরোধ অস্বীকার করার জন্য সেট করা আছে যদি না অ্যাক্সেসযোগ্যতার জন্য একটি নির্দিষ্ট এবং ন্যায্য প্রয়োজন না থাকে।
• লারাভেল অ্যাপ্লিকেশন সেটিংস : নিশ্চিত করুন যে কোনো লাইভ লারাভেল অ্যাপ্লিকেশন 'ডিবাগ' বা টেস্টিং মোডে নেই। .env ফাইলগুলি থেকে ক্লাউড শংসাপত্রগুলি সরান এবং সেগুলি প্রত্যাহার করুন৷ পূর্বে সঞ্চিত ক্লাউড শংসাপত্রগুলির একটি এক-কালীন পর্যালোচনা সম্পাদন করুন এবং অন্যান্য শংসাপত্রের ধরনগুলির জন্য চলমান পর্যালোচনাগুলি পরিচালনা করুন যা সরানো যাবে না৷
• ফাইল সিস্টেম স্ক্যান : রুট ডিরেক্টরি এবং /বিক্রেতা/phpunit/phpunit/src/Util/PHP ফোল্ডারে বিশেষ মনোযোগ সহ অচেনা পিএইচপি ফাইলগুলির জন্য সার্ভারের ফাইল সিস্টেম স্ক্যান করুন।
• আউটগোয়িং GET রিকোয়েস্টগুলি : GitHub বা Pastebin-এর মতো ফাইল-হোস্টিং সাইটগুলিতে আউটগোয়িং GET অনুরোধগুলি পর্যালোচনা করুন, বিশেষ করে যারা cURL কমান্ড ব্যবহার করে৷ অনুরোধটি একটি .php ফাইল অ্যাক্সেস করার সময় বিশেষ মনোযোগ দিন।

সক্রিয় শোষণের প্রমাণের ভিত্তিতে CISA তার পরিচিত শোষিত দুর্বলতার ক্যাটালগ আপডেট করেছে। CVE-2018-15133 Laravel deserialization of untrusted data vulnerability যোগ করা হয়েছে, যখন CVE-2021-41773 Apache HTTP সার্ভার পাথ ট্রাভার্সাল এবং CVE-2017-9841 PHPUnit কমান্ড ইনজেকশন দুর্বলতাগুলি যথাক্রমে 22020 ফেব্রুয়ারি এবং 2020-এ অন্তর্ভুক্ত করা হয়েছিল। এই সংযোজনগুলির লক্ষ্য হল সচেতনতা বৃদ্ধি করা এবং Androxgh0st এর সাথে সম্পর্কিত পরিচিত দুর্বলতার বিরুদ্ধে সক্রিয় পদক্ষেপ গ্রহণ করা।