Multi-License Discount Quote
Βάση δεδομένων απειλών Malware AndroxGh0st Botnet

AndroxGh0st Botnet

Μέχρι το Mezo το Malware, Botnets
Μετάφραση σε:
Ελληνικά

Η CISA και το FBI εξέδωσαν από κοινού μια προειδοποίηση σχετικά με τις δραστηριότητες των παραγόντων απειλών που χρησιμοποιούν το κακόβουλο λογισμικό Androxgh0st, οι οποίοι κατασκευάζουν ενεργά ένα botnet με συγκεκριμένη εστίαση στην κλοπή διαπιστευτηρίων cloud. Αυτοί οι κακόβουλοι παράγοντες αξιοποιούν τις συλλεγόμενες πληροφορίες για να αναπτύξουν πρόσθετα επιβλαβή ωφέλιμα φορτία. Αρχικά εντοπίστηκε από ερευνητές κυβερνοασφάλειας το 2022, αυτό το botnet είχε ήδη αποκτήσει τον έλεγχο σε περισσότερες από 40.000 συσκευές εκείνη την εποχή.

Ο τρόπος λειτουργίας αυτού του botnet περιλαμβάνει σάρωση για τρωτά σημεία σε ιστότοπους και διακομιστές που είναι επιρρεπείς σε απομακρυσμένη εκτέλεση κώδικα (RCE). Συγκεκριμένα, οι παράγοντες απειλών στοχεύουν συγκεκριμένα τρωτά σημεία, συγκεκριμένα το CVE-2017-9841 (που σχετίζεται με το πλαίσιο δοκιμής μονάδας PHPUnit), το CVE-2021-41773 (που συνδέεται με τον διακομιστή Apache HTTP) και το CVE-2018-15133 (που σχετίζεται με το Laravel PHP web πλαίσιο). Με την εκμετάλλευση αυτών των τρωτών σημείων, το κακόβουλο λογισμικό Androxgh0st διευκολύνει τη μη εξουσιοδοτημένη πρόσβαση και επιτρέπει την κλοπή διαπιστευτηρίων cloud, θέτοντας σημαντικό κίνδυνο για την ασφάλεια στον κυβερνοχώρο.

Το κακόβουλο λογισμικό AndroxGh0st στοχεύει ευαίσθητα δεδομένα σε συσκευές που έχουν παραβιαστεί

Το Androxgh0st, ένα κακόβουλο λογισμικό με σενάρια Python, έχει σχεδιαστεί κυρίως για να στοχεύει αρχεία .env που αποθηκεύουν εμπιστευτικές πληροφορίες, συμπεριλαμβανομένων διαπιστευτηρίων για εφαρμογές υψηλού προφίλ όπως το Amazon Web Services (AWS), το Microsoft Office 365, το SendGrid και το Twilio εντός του πλαισίου εφαρμογής Web Laravel .

Αυτό το κακόβουλο λογισμικό διαθέτει διάφορες λειτουργίες, επιτρέποντας την κατάχρηση του πρωτοκόλλου απλής μεταφοράς αλληλογραφίας (SMTP). Μπορεί να σαρώσει και να εκμεταλλευτεί εκτεθειμένα διαπιστευτήρια και διεπαφές προγραμματισμού εφαρμογών (API), καθώς και να αναπτύξει κελύφη Ιστού. Ο συμβιβασμός των διαπιστευτηρίων Twilio και SendGrid επιτρέπει στους παράγοντες απειλών να ενορχηστρώνουν καμπάνιες ανεπιθύμητης αλληλογραφίας, υποδυόμενοι τις εταιρείες που παραβιάζονται.

Ανάλογα με την εφαρμογή του, το AndroxGh0st εμφανίζει δύο κύριες λειτουργίες έναντι των αποκτηθέντων διαπιστευτηρίων. Αυτό που παρατηρείται πιο συχνά περιλαμβάνει τον έλεγχο του ορίου αποστολής email του παραβιασμένου λογαριασμού για να προσδιοριστεί η καταλληλότητά του για σκοπούς ανεπιθύμητης αλληλογραφίας.

Οι εισβολείς έχουν επίσης επιδείξει τη δημιουργία ψεύτικων σελίδων σε παραβιασμένους ιστότοπους, δημιουργώντας μια κερκόπορτα για την πρόσβαση σε βάσεις δεδομένων που περιέχουν ευαίσθητες πληροφορίες. Αυτή η πρόσβαση χρησιμοποιείται για την ανάπτυξη πρόσθετων απειλητικών εργαλείων ζωτικής σημασίας για τις λειτουργίες τους. Σε περιπτώσεις όπου τα διαπιστευτήρια AWS αναγνωρίζονται με επιτυχία και παραβιάζονται σε ευάλωτους ιστότοπους, οι εισβολείς προσπάθησαν να δημιουργήσουν νέους χρήστες και πολιτικές χρηστών.

Επιπλέον, οι χειριστές Andoxgh0st αξιοποιούν κλεμμένα διαπιστευτήρια για να ξεκινήσουν νέες περιπτώσεις AWS, επιτρέποντάς τους να σαρώνουν για πρόσθετους ευάλωτους στόχους στο Διαδίκτυο ως μέρος των συνεχιζόμενων λειτουργιών τους.

Πώς να αποτρέψετε τις πιθανές επιθέσεις κακόβουλου λογισμικού Andoxgh0st;

Για να μετριαστεί ο αντίκτυπος των επιθέσεων κακόβουλου λογισμικού Androxgh0st και να ελαχιστοποιηθεί ο κίνδυνος παραβίασης, συνιστάται στους υπερασπιστές δικτύου να εφαρμόζουν τα ακόλουθα μέτρα:

  • Διατήρηση ενημερωμένων συστημάτων : Βεβαιωθείτε ότι όλα τα λειτουργικά συστήματα, το λογισμικό και το υλικολογισμικό ενημερώνονται τακτικά. Συγκεκριμένα, βεβαιωθείτε ότι οι διακομιστές Apache δεν εκτελούν τις εκδόσεις 2.4.49 ή 2.4.50.
  • Διαμόρφωση URI : Επιβεβαιώστε ότι η προεπιλεγμένη ρύθμιση παραμέτρων για όλα τα Uniform Resource Identifiers (URI) έχει ρυθμιστεί να απορρίπτει όλα τα αιτήματα εκτός εάν υπάρχει συγκεκριμένη και αιτιολογημένη ανάγκη προσβασιμότητας.
  • Ρυθμίσεις εφαρμογής Laravel : Βεβαιωθείτε ότι οποιεσδήποτε ζωντανές εφαρμογές Laravel δεν βρίσκονται σε λειτουργία "debug" ή δοκιμής. Καταργήστε τα διαπιστευτήρια cloud από αρχεία .env και ανακαλέστε τα. Πραγματοποιήστε έναν εφάπαξ έλεγχο των διαπιστευτηρίων cloud που είχαν αποθηκευτεί στο παρελθόν και πραγματοποιήστε συνεχείς ελέγχους για άλλους τύπους διαπιστευτηρίων που δεν μπορούν να αφαιρεθούν.
  • Σαρώσεις συστήματος αρχείων : Σαρώστε το σύστημα αρχείων του διακομιστή για μη αναγνωρισμένα αρχεία PHP, με ιδιαίτερη προσοχή στον ριζικό κατάλογο και στο φάκελο /vendor/phpunit/phpunit/src/Util/PHP.
  • Εξερχόμενα αιτήματα GET : Ελέγξτε τα εξερχόμενα αιτήματα GET, ειδικά αυτά που χρησιμοποιούν εντολές cURL, σε ιστότοπους που φιλοξενούν αρχεία όπως το GitHub ή το Pastebin. Δώστε ιδιαίτερη προσοχή όταν το αίτημα αποκτά πρόσβαση σε αρχείο .php.

Η CISA ενημέρωσε τον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών της με βάση στοιχεία ενεργητικής εκμετάλλευσης. Η CVE-2018-15133 Laravel deserialization της μη αξιόπιστης ευπάθειας δεδομένων προστέθηκε, ενώ η διέλευση διαδρομής διακομιστή CVE-2021-41773 Apache HTTP και η ένεση εντολών CVE-2017-9841 PHPUnit ευπάθειες συμπεριλήφθηκαν στις 21 Φεβρουαρίου 2022 και αντίστοιχα. Αυτές οι προσθήκες στοχεύουν στην ενίσχυση της ευαισθητοποίησης και στην έγκαιρη λήψη προληπτικών μέτρων έναντι γνωστών τρωτών σημείων που σχετίζονται με το Androxgh0st.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
29,254
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...