بات نت AndroxGh0st

CISA و FBI به طور مشترک هشداری را در مورد فعالیت عاملان تهدید استفاده از بدافزار Androxgh0st، که به طور فعال در حال ساخت یک بات نت با تمرکز خاص بر سرقت اعتبارنامه های ابری هستند، صادر کرده اند. این بازیگران بدخواه از اطلاعات جمع آوری شده برای استقرار محموله های مضر اضافی استفاده می کنند. این بات نت که در ابتدا توسط محققان امنیت سایبری در سال 2022 شناسایی شد، در آن زمان کنترل بیش از 40000 دستگاه را به دست آورده بود.

روش کار این بات نت شامل اسکن برای آسیب پذیری در وب سایت ها و سرورهای مستعد اجرای کد از راه دور (RCE) است. به طور مشخص، عوامل تهدید آسیب‌پذیری‌های خاصی را هدف قرار می‌دهند، یعنی CVE-2017-9841 (مرتبط با چارچوب تست واحد PHPUnit)، CVE-2021-41773 (مرتبط با سرور HTTP Apache) و CVE-2018-15133 (مربوط به لاراول). چارچوب وب PHP). بدافزار Androxgh0st با بهره‌برداری از این آسیب‌پذیری‌ها، دسترسی غیرمجاز را تسهیل می‌کند و سرقت اعتبارنامه‌های ابری را امکان‌پذیر می‌سازد که خطر امنیت سایبری قابل توجهی را به همراه دارد.

بدافزار AndroxGh0st داده های حساس دستگاه های خراب را هدف قرار می دهد

Androxgh0st، یک بدافزار اسکریپت پایتون، در اصل برای هدف قرار دادن فایل‌های env که اطلاعات محرمانه را ذخیره می‌کنند، طراحی شده است، از جمله اعتبار برای برنامه‌های کاربردی با مشخصات بالا مانند خدمات وب آمازون (AWS)، مایکروسافت آفیس 365، SendGrid و Twilio در چارچوب برنامه‌های وب لاراول. .

این بدافزار دارای عملکردهای مختلفی است که امکان سوء استفاده از پروتکل انتقال نامه ساده (SMTP) را فراهم می کند. این می‌تواند اعتبارنامه‌های افشا شده و رابط‌های برنامه‌نویسی کاربردی (API) را اسکن کرده و از آن استفاده کند و همچنین پوسته‌های وب را مستقر کند. به خطر افتادن اعتبارنامه های Twilio و SendGrid به عوامل تهدید اجازه می دهد تا کمپین های هرزنامه را سازماندهی کنند و جعل هویت شرکت های نقض شده را نشان دهند.

بسته به کاربرد آن، AndroxGh0st دو عملکرد اصلی را در برابر اعتبارنامه های به دست آمده نشان می دهد. موردی که بیشتر مشاهده می شود شامل بررسی محدودیت ارسال ایمیل حساب در معرض خطر برای تعیین مناسب بودن آن برای اهداف ارسال هرزنامه است.

مهاجمان همچنین ایجاد صفحات جعلی را در وب‌سایت‌های در معرض خطر نشان داده‌اند و یک درب پشتی برای دسترسی به پایگاه‌های اطلاعاتی حاوی اطلاعات حساس ایجاد کرده‌اند. این دسترسی برای استقرار ابزارهای تهدید کننده اضافی که برای عملیات آنها حیاتی است استفاده می شود. در مواردی که اعتبارنامه‌های AWS با موفقیت شناسایی شده و در وب‌سایت‌های آسیب‌پذیر در معرض خطر قرار می‌گیرند، مهاجمان تلاش کرده‌اند تا کاربران و سیاست‌های کاربر جدیدی ایجاد کنند.

علاوه بر این، اپراتورهای Andoxgh0st از اعتبارنامه های سرقت شده برای شروع نمونه های جدید AWS استفاده می کنند و به آنها اجازه می دهد تا اهداف آسیب پذیر اضافی را در سراسر اینترنت به عنوان بخشی از عملیات جاری خود اسکن کنند.

چگونه از حملات احتمالی بدافزار Andoxgh0st جلوگیری کنیم؟

برای کاهش تأثیر حملات بدافزار Androxgh0st و به حداقل رساندن خطر به خطر افتادن، به مدافعان شبکه توصیه می شود اقدامات زیر را اجرا کنند:

• سیستم ها را به روز نگه دارید : اطمینان حاصل کنید که همه سیستم عامل ها، نرم افزارها و سیستم عامل ها به طور منظم به روز می شوند. به طور خاص، بررسی کنید که سرورهای آپاچی نسخه های 2.4.49 یا 2.4.50 را اجرا نمی کنند.
• پیکربندی URI : تأیید کنید که پیکربندی پیش‌فرض برای همه شناسه‌های منبع یکنواخت (URI) طوری تنظیم شده است که همه درخواست‌ها را رد کند، مگر اینکه نیاز مشخص و موجهی برای دسترسی وجود داشته باشد.
• تنظیمات برنامه لاراول : اطمینان حاصل کنید که برنامه های لاراول زنده در حالت "اشکال زدایی" یا تست نیستند. اعتبارنامه های ابری را از فایل های .env حذف کرده و آنها را باطل کنید. بررسی یکباره اعتبارنامه‌های ابری ذخیره‌شده قبلی را انجام دهید و بررسی‌های مداومی را برای انواع دیگر اعتبارنامه‌هایی که قابل حذف نیستند انجام دهید.
• اسکن سیستم فایل : سیستم فایل سرور را برای فایل‌های PHP ناشناخته اسکن کنید، با توجه ویژه به دایرکتوری ریشه و پوشه /vendor/phpunit/phpunit/src/Util/PHP.
• درخواست‌های GET خروجی : درخواست‌های GET خروجی، به‌ویژه آن‌هایی که از دستورات cURL استفاده می‌کنند را برای سایت‌های میزبان فایل مانند GitHub یا Pastebin بررسی کنید. هنگامی که درخواست به یک فایل php. دسترسی پیدا می کند، توجه ویژه ای داشته باشید.

CISA کاتالوگ آسیب پذیری های شناخته شده خود را بر اساس شواهدی از بهره برداری فعال به روز کرده است. CVE-2018-15133 Laravel deserialization آسیب پذیری داده های غیرقابل اعتماد اضافه شد، در حالی که CVE-2021-41773 Apache HTTP Server traversal و CVE-2017-9841 PHPUnit آسیب پذیری های تزریق به ترتیب در فوریه 21 و 2020 نوامبر 20 گنجانده شدند. هدف این افزودنی ها افزایش آگاهی و اقدامات پیشگیرانه سریع در برابر آسیب پذیری های شناخته شده مرتبط با Androxgh0st است.