Botnet AndroxGh0st

CISA a FBI společně vydaly varování týkající se aktivit hrozeb využívajících malware Androxgh0st, kteří aktivně vytvářejí botnet se specifickým zaměřením na krádeže cloudových přihlašovacích údajů. Tito zlovolní aktéři využívají shromážděné informace k nasazení dalších škodlivých užitečných zátěží. Tento botnet, který původně objevili výzkumníci v oblasti kybernetické bezpečnosti v roce 2022, již v té době získal kontrolu nad více než 40 000 zařízeními.

Modus operandi tohoto botnetu zahrnuje skenování zranitelností na webových stránkách a serverech náchylných ke vzdálenému spuštění kódu (RCE). Aktéři hrozeb se zaměřují na konkrétní zranitelnosti, jmenovitě CVE-2017-9841 (spojené s rámcem testování jednotek PHPUnit), CVE-2021-41773 (propojené s HTTP serverem Apache) a CVE-2018-15133 (související s Laravelem webový rámec PHP). Využíváním těchto zranitelností usnadňuje malware Androxgh0st neoprávněný přístup a umožňuje krádež přihlašovacích údajů do cloudu, což představuje významné riziko kybernetické bezpečnosti.

Malware AndroxGh0st se zaměřuje na citlivá data na narušených zařízeních

Androxgh0st, malware skriptovaný v Pythonu, je primárně navržen tak, aby cílil na soubory .env, které ukládají důvěrné informace, včetně přihlašovacích údajů pro vysoce profilované aplikace, jako jsou Amazon Web Services (AWS), Microsoft Office 365, SendGrid a Twilio v rámci webového aplikačního rámce Laravel. .

Tento malware se může pochlubit různými funkcemi, které umožňují zneužití protokolu SMTP (Simple Mail Transfer Protocol). Může skenovat a využívat vystavená pověření a aplikační programovací rozhraní (API) a také nasazovat webové prostředí. Kompromis přihlašovacích údajů Twilio a SendGrid umožňuje aktérům hrozeb organizovat spamové kampaně a vydávat se za napadené společnosti.

V závislosti na své aplikaci vykazuje AndroxGh0st dvě primární funkce proti získaným pověřením. Ten častěji pozorovaný zahrnuje kontrolu limitu pro odesílání e-mailů u napadeného účtu, aby se zjistila jeho vhodnost pro účely spamování.

Útočníci také prokázali vytváření falešných stránek na napadených webech, čímž vytvořili zadní vrátka pro přístup k databázím obsahujícím citlivé informace. Tento přístup se využívá k nasazení dalších ohrožujících nástrojů, které jsou klíčové pro jejich provoz. V případech, kdy jsou přihlašovací údaje AWS úspěšně identifikovány a ohroženy na zranitelných webech, se útočníci pokusili vytvořit nové uživatele a uživatelské zásady.

Operátoři Andoxgh0st navíc využívají odcizené přihlašovací údaje k inicializaci nových instancí AWS, což jim umožňuje vyhledávat další zranitelné cíle na internetu jako součást jejich probíhajících operací.

Jak zabránit potenciálním útokům malwaru Andoxgh0st?

Ke zmírnění dopadu malwarových útoků Androxgh0st a minimalizaci rizika kompromitace se obráncům sítě doporučuje provést následující opatření:

• Udržujte systémy aktualizované : Zajistěte, aby byly všechny operační systémy, software a firmware pravidelně aktualizovány. Konkrétně ověřte, že servery Apache neběží verze 2.4.49 nebo 2.4.50.
• Konfigurace URI : Potvrďte, že výchozí konfigurace pro všechny identifikátory URI (Uniform Resource Identifier) je nastavena tak, aby odmítala všechny požadavky, pokud neexistuje konkrétní a oprávněná potřeba přístupnosti.
• Nastavení aplikace Laravel : Ujistěte se, že žádné živé aplikace Laravel nejsou v režimu ladění nebo testování. Odeberte přihlašovací údaje cloudu ze souborů .env a zrušte je. Proveďte jednorázovou kontrolu dříve uložených cloudových přihlašovacích údajů a provádějte průběžné kontroly dalších typů přihlašovacích údajů, které nelze odebrat.
• Skenování souborového systému : Prohledejte souborový systém serveru na přítomnost nerozpoznaných souborů PHP, se zvláštní pozorností na kořenový adresář a složku /vendor/phpunit/phpunit/src/Util/PHP.
• Odchozí požadavky GET : Zkontrolujte odchozí požadavky GET, zejména ty, které používají příkazy cURL, na weby hostující soubory, jako je GitHub nebo Pastebin. Věnujte zvláštní pozornost, když požadavek přistupuje k souboru .php.

CISA aktualizovala svůj Katalog známých zneužitých zranitelností na základě důkazů o aktivním využívání. Byla přidána deserializace CVE-2018-15133 Laravel zranitelnosti nedůvěryhodných dat, zatímco chyby zabezpečení CVE-2021-41773 Apache HTTP Server a CVE-2017-9841 PHPUnit command injection byly zahrnuty v listopadu 20022, resp. Cílem těchto doplňků je zvýšit povědomí a urychlit proaktivní opatření proti známým zranitelnostem spojeným s Androxgh0st.