AndroxGh0st robotivõrk

CISA ja FBI on ühiselt väljastanud hoiatuse Androxgh0st pahavara kasutavate ohus osalejate tegevuse kohta, kes ehitavad aktiivselt botnetti, keskendudes eelkõige pilvmandaatide vargustele. Need pahatahtlikud osalejad kasutavad kogutud teavet täiendavate kahjulike koormate kasutuselevõtuks. Algselt tuvastasid küberjulgeolekuteadlased 2022. aastal see botnet, mis oli selleks ajaks saanud juba kontrolli enam kui 40 000 seadme üle.

Selle robotivõrgu tööpõhimõte hõlmab kaugkäivitamisele (RCE) vastuvõtlike veebisaitide ja serverite haavatavuste otsimist. Eelkõige sihivad ohutegijad konkreetseid haavatavusi, nimelt CVE-2017-9841 (seotud PHPUniti üksuse testimise raamistikuga), CVE-2021-41773 (lingitud Apache HTTP-serveriga) ja CVE-2018-15133 (seotud Laraveliga). PHP veebiraamistik). Neid haavatavusi ära kasutades hõlbustab Androxgh0st pahavara volitamata juurdepääsu ja võimaldab varastada pilvmandaadi, mis kujutab endast märkimisväärset küberturvariski.

AndroxGh0st pahavara sihib rikutud seadmete tundlikke andmeid

Androxgh0st, Pythoni skriptitud pahavara, on mõeldud peamiselt .env-failide sihtimiseks, mis salvestavad konfidentsiaalset teavet, sealhulgas Laraveli veebirakenduste raamistikus olevate kõrgetasemeliste rakenduste, nagu Amazon Web Services (AWS), Microsoft Office 365, SendGrid ja Twilio mandaadid. .

Sellel pahavaral on erinevad funktsioonid, mis võimaldavad SMTP (Simple Mail Transfer Protocol) kuritarvitamist. See võib skannida ja kasutada paljastatud mandaate ja rakenduste programmeerimisliideseid (API-sid) ning juurutada veebikestasid. Twilio ja SendGridi mandaatide kompromiss võimaldab ohus osalejatel korraldada rämpspostikampaaniaid, kehastades rikutud ettevõtteid.

Olenevalt rakendusest on AndroxGh0st omandatud mandaatide vastu kaks peamist funktsiooni. Sagedamini vaadeldakse ohustatud konto e-kirjade saatmise limiidi kontrollimist, et teha kindlaks selle sobivus rämpsposti saatmiseks.

Ründajad on näidanud ka võltslehtede loomist ohustatud veebisaitidel, luues tagaukse tundlikku teavet sisaldavatele andmebaasidele juurdepääsuks. Seda juurdepääsu kasutatakse täiendavate ähvardavate tööriistade juurutamiseks, mis on nende tegevuse jaoks üliolulised. Juhtudel, kui AWS-i mandaadid on haavatavatel veebisaitidel edukalt tuvastatud ja ohustatud, on ründajad püüdnud luua uusi kasutajaid ja kasutajapoliitikaid.

Lisaks kasutavad Andoxgh0st operaatorid varastatud mandaate uute AWS-i eksemplaride algatamiseks, võimaldades neil oma käimasolevate toimingute raames otsida Internetist täiendavaid haavatavaid sihtmärke.

Kuidas vältida võimalikke Andoxgh0st pahavara rünnakuid?

Androxgh0st pahavara rünnakute mõju leevendamiseks ja kompromissiriski minimeerimiseks soovitatakse võrgukaitsjatel rakendada järgmisi meetmeid.

• Süsteemide värskendamine : veenduge, et kõiki operatsioonisüsteeme, tarkvara ja püsivara värskendatakse regulaarselt. Täpsemalt veenduge, et Apache serverites ei töötaks versioonid 2.4.49 või 2.4.50.
• URI konfiguratsioon : veenduge, et kõigi ühtsete ressursiidentifikaatorite (URI) vaikekonfiguratsioon on seatud keelama kõik päringud, välja arvatud juhul, kui juurdepääsetavaks on konkreetne ja põhjendatud vajadus.
• Laraveli rakenduse sätted : veenduge, et kõik Laraveli reaalajas rakendused ei oleks silumis- ega testimisrežiimis. Eemaldage .env-failidest pilvmandaadid ja tühistage need. Tehke ühekordne ülevaatus varem salvestatud pilvemandaatide kohta ja kontrollige pidevalt muid mandaaditüüpe, mida ei saa eemaldada.
• Failisüsteemi kontrollid : kontrollige serveri failisüsteemi tundmatute PHP-failide suhtes, pöörates erilist tähelepanu juurkataloogile ja kaustale /vendor/phpunit/phpunit/src/Util/PHP.
• Väljuvad GET-päringud : vaadake failimajutussaitidele, nagu GitHub või Pastebin, väljaminevad GET-päringud, eriti need, mis kasutavad cURL-i käske. Pöörake erilist tähelepanu, kui päring pääseb juurde .php-failile.

CISA on aktiivse ärakasutamise tõendite põhjal uuendanud oma teadaolevate ärakasutatud haavatavuste kataloogi. Lisati ebausaldusväärsete andmete haavatavuse CVE-2018-15133 Laraveli deserialiseerimine, samas kui CVE-2021-41773 Apache HTTP Serveri tee läbimine ja CVE-2017-9841 PHPUnit käskude sisestamise haavatavused lisati vastavalt novembris 2021 ja 20. veebruaril. Nende täienduste eesmärk on suurendada teadlikkust ja võtta kasutusele ennetavaid meetmeid Androxgh0st-ga seotud teadaolevate haavatavuste vastu.