AndroxGh0st Botnet

CISA og FBI har i fællesskab udsendt en advarsel om aktiviteterne hos trusselsaktører, der bruger Androxgh0st malware, som aktivt opbygger et botnet med et specifikt fokus på tyveri af cloud-legitimationsoplysninger. Disse ondsindede aktører udnytter de indsamlede oplysninger til at implementere yderligere skadelige nyttelaster. Oprindeligt opdaget af cybersikkerhedsforskere i 2022, havde dette botnet allerede fået kontrol over mere end 40.000 enheder på det tidspunkt.

Dette botnets modus operandi involverer scanning for sårbarheder på websteder og servere, der er modtagelige for fjernudførelse af kode (RCE). Især er trusselsaktørerne målrettet mod specifikke sårbarheder, nemlig CVE-2017-9841 (associeret med PHPUnit-enhedstestrammerne), CVE-2021-41773 (linket til Apache HTTP-serveren) og CVE-2018-15133 (relateret til Laravel'en) PHP webramme). Ved at udnytte disse sårbarheder letter Androxgh0st-malwaren uautoriseret adgang og muliggør tyveri af cloud-legitimationsoplysninger, hvilket udgør en betydelig cybersikkerhedsrisiko.

AndroxGh0st-malwaren er rettet mod følsomme data på overtrådte enheder

Androxgh0st, en Python-scriptet malware, er primært designet til at målrette mod .env-filer, der gemmer fortrolige oplysninger, herunder legitimationsoplysninger til højprofilerede applikationer som Amazon Web Services (AWS), Microsoft Office 365, SendGrid og Twilio inden for Laravel Web-applikationsrammerne .

Denne malware kan prale af forskellige funktionaliteter, der muliggør misbrug af Simple Mail Transfer Protocol (SMTP). Den kan scanne og udnytte blottede legitimationsoplysninger og API'er (Application Programming Interfaces) samt implementere web-skaller. Kompromiset med Twilio- og SendGrid-legitimationsoplysninger giver trusselsaktører mulighed for at orkestrere spamkampagner, der efterligner de overtrådte virksomheder.

Afhængigt af dens anvendelse udviser AndroxGh0st to primære funktioner i forhold til erhvervede legitimationsoplysninger. Den hyppigere observerede involverer kontrol af e-mail-afsendelsesgrænsen for den kompromitterede konto for at bestemme dens egnethed til spamformål.

Angriberne har også demonstreret oprettelsen af falske sider på kompromitterede websteder, og etableret en bagdør til at få adgang til databaser, der indeholder følsomme oplysninger. Denne adgang bruges til at implementere yderligere truende værktøjer, der er afgørende for deres operationer. I tilfælde, hvor AWS-legitimationsoplysninger med succes er identificeret og kompromitteret på sårbare websteder, har angriberne forsøgt at skabe nye brugere og brugerpolitikker.

Desuden udnytter Andoxgh0st-operatører stjålne legitimationsoplysninger til at starte nye AWS-instanser, hvilket giver dem mulighed for at scanne efter yderligere sårbare mål på tværs af internettet som en del af deres igangværende operationer.

Hvordan forhindrer man de potentielle Andoxgh0st Malware-angreb?

For at afbøde virkningen af Androxgh0st malware-angreb og minimere risikoen for kompromittering, rådes netværksforsvarere til at implementere følgende foranstaltninger:

• Hold systemerne opdateret : Sørg for, at alle operativsystemer, software og firmware opdateres regelmæssigt. Konkret skal du kontrollere, at Apache-servere ikke kører version 2.4.49 eller 2.4.50.
• URI-konfiguration : Bekræft, at standardkonfigurationen for alle URI'er (Uniform Resource Identifiers) er indstillet til at afvise alle anmodninger, medmindre der er et specifikt og berettiget behov for tilgængelighed.
• Laravel-applikationsindstillinger : Sørg for, at eventuelle Laravel-applikationer ikke er i 'fejlretning' eller testtilstand. Fjern cloud-legitimationsoplysninger fra .env-filer og tilbagekald dem. Udfør en engangsgennemgang af tidligere gemte cloud-legitimationsoplysninger og foretag løbende gennemgange for andre legitimationstyper, der ikke kan fjernes.
• Filsystemscanninger : Scan serverens filsystem for ikke-genkendte PHP-filer, med særlig opmærksomhed på rodmappen og mappen /vendor/phpunit/phpunit/src/Util/PHP.
• Udgående GET-anmodninger : Gennemgå udgående GET-anmodninger, især dem der bruger cURL-kommandoer, til fil-hosting-websteder som GitHub eller Pastebin. Vær særlig opmærksom, når anmodningen åbner en .php-fil.

CISA har opdateret sit Known Exploited Vulnerabilities Catalogue baseret på beviser for aktiv udnyttelse. CVE-2018-15133 Laravel-deserialiseringen af upålidelige datasårbarhed blev tilføjet, mens CVE-2021-41773 Apache HTTP Server-stigennemgangen og CVE-2017-9841 PHPUnit kommandoinjektionssårbarhed blev inkluderet i henholdsvis november 2021 og februar 2022. Disse tilføjelser har til formål at øge opmærksomheden og fremskynde proaktive foranstaltninger mod kendte sårbarheder forbundet med Androxgh0st.