Botnet AndroxGh0st

CISA i l'FBI han emès conjuntament una advertència sobre les activitats dels actors d'amenaça que utilitzen el programari maliciós Androxgh0st, que estan construint activament una botnet amb un enfocament específic en el robatori de credencials del núvol. Aquests actors malèvols aprofiten la informació recopilada per desplegar càrregues útils addicionals perjudicials. Detectada inicialment pels investigadors de ciberseguretat el 2022, aquesta botnet ja havia aconseguit el control de més de 40.000 dispositius en aquell moment.

El modus operandi d'aquesta botnet consisteix a buscar vulnerabilitats en llocs web i servidors susceptibles d'execució de codi remota (RCE). En particular, els actors de l'amenaça s'orienten a vulnerabilitats específiques, a saber, CVE-2017-9841 (associat amb el marc de proves unitat PHPUnit), CVE-2021-41773 (enllaçat amb el servidor HTTP Apache) i CVE-2018-15133 (relacionat amb el Laravel). marc web PHP). Mitjançant l'explotació d'aquestes vulnerabilitats, el programari maliciós Androxgh0st facilita l'accés no autoritzat i permet el robatori de credencials al núvol, la qual cosa suposa un important risc de ciberseguretat.

El programari maliciós AndroxGh0st s'adreça a dades sensibles en dispositius violats

Androxgh0st, un programari maliciós amb scripts de Python, està dissenyat principalment per orientar fitxers .env que emmagatzemen informació confidencial, incloses les credencials per a aplicacions d'alt perfil com Amazon Web Services (AWS), Microsoft Office 365, SendGrid i Twilio dins del marc d'aplicacions web de Laravel. .

Aquest programari maliciós compta amb diverses funcionalitats, que permeten l'abús del Protocol simple de transferència de correu (SMTP). Pot escanejar i explotar credencials exposades i interfícies de programació d'aplicacions (API), així com desplegar shells web. El compromís de les credencials de Twilio i SendGrid permet als actors de l'amenaça orquestrar campanyes de correu brossa, suplantant la identitat de les empreses violades.

Depenent de la seva aplicació, AndroxGh0st presenta dues funcions principals contra les credencials adquirides. La que s'observa amb més freqüència consisteix a comprovar el límit d'enviament de correu electrònic del compte compromès per determinar-ne la idoneïtat per a l'enviament de correu brossa.

Els atacants també han demostrat la creació de pàgines falses en llocs web compromesos, establint una porta posterior per accedir a bases de dades que contenen informació sensible. Aquest accés s'utilitza per desplegar eines amenaçadores addicionals crucials per a les seves operacions. En els casos en què les credencials d'AWS s'identifiquen i es comprometen amb èxit en llocs web vulnerables, els atacants han intentat crear nous usuaris i polítiques d'usuari.

A més, els operadors d'Andoxgh0st aprofiten les credencials robades per iniciar noves instàncies d'AWS, cosa que els permet buscar objectius vulnerables addicionals a Internet com a part de les seves operacions en curs.

Com prevenir els possibles atacs de programari maliciós Andoxgh0st?

Per mitigar l'impacte dels atacs de programari maliciós Androxgh0st i minimitzar el risc de compromís, es recomana als defensors de la xarxa que implementin les mesures següents:

• Mantenir els sistemes actualitzats : assegureu-vos que tots els sistemes operatius, programari i microprogramari s'actualitzen regularment. Concretament, verifiqueu que els servidors Apache no executin les versions 2.4.49 o 2.4.50.
• Configuració d'URI : confirmeu que la configuració predeterminada per a tots els identificadors uniformes de recursos (URI) està configurada per denegar totes les sol·licituds tret que hi hagi una necessitat específica i justificada d'accessibilitat.
• Configuració de l'aplicació Laravel : assegureu-vos que les aplicacions Laravel en directe no estiguin en mode de "depuració" o de prova. Elimineu les credencials del núvol dels fitxers .env i revoqueu-les. Realitzeu una revisió única de les credencials del núvol emmagatzemades anteriorment i feu revisions contínues d'altres tipus de credencials que no es poden eliminar.
• Exploracions del sistema de fitxers : escaneja el sistema de fitxers del servidor per trobar fitxers PHP no reconeguts, amb especial atenció al directori arrel i a la carpeta /vendor/phpunit/phpunit/src/Util/PHP.
• Sol·licituds GET sortints : reviseu les sol·licituds GET sortints, especialment les que utilitzen ordres cURL, a llocs d'allotjament de fitxers com GitHub o Pastebin. Presteu especial atenció quan la sol·licitud accedeixi a un fitxer .php.

CISA ha actualitzat el seu catàleg de vulnerabilitats explotades conegudes a partir de proves d'explotació activa. Es va afegir la deserialització CVE-2018-15133 Laravel de la vulnerabilitat de dades no fiables, mentre que la travessia del camí del servidor HTTP Apache CVE-2021-41773 i les vulnerabilitats d'injecció d'ordres CVE-2017-9841 PHPUnit es van incloure el novembre de 2021 i febrer de 2022, respectivament. Aquestes addicions tenen com a objectiu millorar la consciència i impulsar mesures proactives contra les vulnerabilitats conegudes associades amb Androxgh0st.