AndroxGh0st-bottiverkko

CISA ja FBI ovat yhdessä antaneet varoituksen Androxgh0st-haittaohjelmaa hyödyntävien uhkatoimijoiden toiminnasta. He rakentavat aktiivisesti botnet-verkkoa, joka keskittyy erityisesti pilvitunnuksien varkauksiin. Nämä pahantahtoiset toimijat hyödyntävät kerättyä tietoa lisäkseen haitallisia hyötykuormia. Kyberturvallisuustutkijat havaitsivat alun perin vuonna 2022, että tämä botnet oli jo tuolloin saanut hallintaansa yli 40 000 laitteeseen.

Tämän bottiverkon toimintatapaan kuuluu haavoittuvuuksien etsiminen verkkosivuilta ja palvelimilta, jotka ovat alttiina koodin etäsuorittamiselle (RCE). Uhkatoimijat kohdistuvat erityisesti tiettyihin haavoittuvuuksiin, joita ovat CVE-2017-9841 (liittyy PHPUnit-yksikkötestauskehykseen), CVE-2021-41773 (linkitetty Apache HTTP Serveriin) ja CVE-2018-15133 (liittyy Laraveliin). PHP-verkkokehys). Hyödyntämällä näitä haavoittuvuuksia Androxgh0st-haittaohjelma helpottaa luvatonta pääsyä ja mahdollistaa pilvitunnuksien varkauden, mikä aiheuttaa merkittävän kyberturvallisuusriskin.

AndroxGh0st-haittaohjelma kohdistaa arkaluontoiset tiedot rikkoutuneisiin laitteisiin

Androxgh0st, Python-skripti haittaohjelma, on suunniteltu ensisijaisesti kohdistamaan .env-tiedostoja, jotka tallentavat luottamuksellisia tietoja, mukaan lukien valtuustiedot korkean profiilin sovelluksille, kuten Amazon Web Services (AWS), Microsoft Office 365, SendGrid ja Twilio Laravel Web -sovelluskehyksen puitteissa. .

Tämä haittaohjelma sisältää useita toimintoja, jotka mahdollistavat SMTP (Simple Mail Transfer Protocol) -protokollan väärinkäytön. Se voi skannata ja hyödyntää paljastuneita valtuustietoja ja sovellusliittymiä (API) sekä ottaa käyttöön Web-kuoret. Twilion ja SendGridin valtuustietojen kompromissi antaa uhkatoimijoille mahdollisuuden järjestää roskapostikampanjoita ja esiintyä rikotun yrityksenä.

Sovelluksestaan riippuen AndroxGh0st sisältää kaksi päätoimintoa hankittuja tunnistetietoja vastaan. Useammin havaittu on vaarantuneen tilin sähköpostin lähetysrajan tarkistaminen sen soveltuvuuden määrittämiseksi roskapostin lähettämiseen.

Hyökkääjät ovat myös osoittaneet väärennettyjen sivujen luomisen vaarantuneille verkkosivustoille, jotka ovat luoneet takaoven arkaluonteisia tietoja sisältäviin tietokantoihin. Tätä pääsyä käytetään ottamaan käyttöön muita uhkaavia työkaluja, jotka ovat ratkaisevan tärkeitä heidän toiminnalleen. Tapauksissa, joissa AWS-tunnistetiedot tunnistetaan onnistuneesti ja ne vaarantuvat haavoittuvilla verkkosivustoilla, hyökkääjät ovat yrittäneet luoda uusia käyttäjiä ja käyttäjäkäytäntöjä.

Lisäksi Andoxgh0st-operaattorit hyödyntävät varastettuja valtuustietoja uusien AWS-instanssien käynnistämiseen, jolloin he voivat etsiä muita haavoittuvia kohteita Internetistä osana jatkuvaa toimintaansa.

Kuinka estää mahdolliset Andoxgh0st-haittaohjelmahyökkäykset?

Androxgh0st-haittaohjelmahyökkäysten vaikutusten ja kompromissiriskin minimoimiseksi verkon puolustajia kehotetaan toteuttamaan seuraavat toimenpiteet:

• Pidä järjestelmät päivitettyinä : Varmista, että kaikki käyttöjärjestelmät, ohjelmistot ja laiteohjelmistot päivitetään säännöllisesti. Varmista erityisesti, että Apache-palvelimet eivät käytä versiota 2.4.49 tai 2.4.50.
• URI-kokoonpano : Varmista, että kaikkien URI-tunnisteiden (Uniform Resource Identifiers) oletusmääritys on asetettu estämään kaikki pyynnöt, ellei saavutettavuudelle ole erityistä ja perusteltua tarvetta.
• Laravel-sovellusasetukset : Varmista, että Laravel-sovellukset eivät ole "debug"- tai testaustilassa. Poista pilvitunnistetiedot .env-tiedostoista ja peruuta ne. Suorita kertaluonteinen tarkastus aiemmin tallennetuille pilvivalvontatiedoille ja suorita jatkuvia tarkastuksia muille tunnistetyypeille, joita ei voida poistaa.
• Tiedostojärjestelmän tarkistukset : Tarkista palvelimen tiedostojärjestelmä tunnistamattomien PHP-tiedostojen varalta kiinnittäen erityistä huomiota juurihakemistoon ja /vendor/phpunit/phpunit/src/Util/PHP-kansioon.
• Lähtevät GET-pyynnöt : Tarkista lähtevät GET-pyynnöt, erityisesti ne, jotka käyttävät cURL-komentoja, tiedostojen isännöintisivustoille, kuten GitHub tai Pastebin. Kiinnitä erityistä huomiota, kun pyyntö käyttää .php-tiedostoa.

CISA on päivittänyt tunnettujen hyödynnettyjen haavoittuvuuksien luettelonsa aktiivisen hyväksikäytön todisteiden perusteella. CVE-2018-15133 Laravelin deserialisointi epäluotettavan datan haavoittuvuudesta lisättiin, kun taas CVE-2021-41773 Apache HTTP Server -polun läpikulku ja CVE-2017-9841 PHPUnit-komennon lisäyshaavoittuvuudet sisällytettiin marraskuussa 2021 ja helmikuun 20. päivänä. Näillä lisäyksillä pyritään lisäämään tietoisuutta Androxgh0stiin liittyvistä tunnetuista haavoittuvuuksista ja ottamaan käyttöön ennakoivia toimenpiteitä.