AndroxGh0st Botnet

CISA וה-FBI פרסמו במשותף אזהרה בנוגע לפעילויות של גורמי איומים המשתמשים בתוכנה זדונית Androxgh0st, אשר בונים באופן פעיל רשת בוט עם התמקדות ספציפית בגניבת אישורי ענן. השחקנים המרושעים הללו ממנפים את המידע שנאסף כדי לפרוס מטענים מזיקים נוספים. זוהה לראשונה על ידי חוקרי אבטחת סייבר בשנת 2022, הבוטנט הזה כבר השיג שליטה על יותר מ-40,000 מכשירים באותה תקופה.

אופן הפעולה של הבוטנט הזה כולל סריקה לאיתור פגיעויות באתרי אינטרנט ושרתים הרגישים לביצוע קוד מרחוק (RCE). יש לציין ששחקני האיום מתמקדים בפרצות ספציפיות, כלומר CVE-2017-9841 (המשויך למסגרת בדיקת יחידות PHPUnit), CVE-2021-41773 (מקושר לשרת ה-Apache HTTP), ו-CVE-2018-15133 (קשור ל-Laravel מסגרת האינטרנט של PHP). על ידי ניצול הפגיעויות הללו, תוכנת הזדונית Androxgh0st מאפשרת גישה בלתי מורשית ומאפשרת גניבה של אישורי ענן, מה שמהווה סיכון אבטחת סייבר משמעותי.

תוכנת זדונית AndroxGh0st מכוונת לנתונים רגישים על התקנים שנפרצו

Androxgh0st, תוכנה זדונית עם סקריפט של Python, מיועדת בעיקר למקד קבצי .env המאחסנים מידע סודי, כולל אישורים עבור יישומים בעלי פרופיל גבוה כמו Amazon Web Services (AWS), Microsoft Office 365, SendGrid ו-Twilio במסגרת יישום האינטרנט של Laravel .

תוכנה זדונית זו מתהדרת בפונקציות שונות, המאפשרות שימוש לרעה בפרוטוקול העברת הדואר הפשוט (SMTP). הוא יכול לסרוק ולנצל אישורים חשופים וממשקי תכנות יישומים (APIs), כמו גם לפרוס קונכיות אינטרנט. הפשרה של אישורי Twilio ו-SendGrid מאפשרת לשחקני איומים לארגן קמפיינים של דואר זבל, תוך התחזות לחברות שנפרצו.

בהתאם ליישום שלה, AndroxGh0st מציג שתי פונקציות עיקריות כנגד אישורים נרכשים. התכונה הנצפה יותר כוללת בדיקת מגבלת שליחת הדואר האלקטרוני של החשבון שנפרץ כדי לקבוע את התאמתו למטרות ספאם.

התוקפים גם הדגימו יצירת דפים מזויפים באתרי אינטרנט שנפגעו, תוך הקמת דלת אחורית לגישה למאגרי מידע המכילים מידע רגיש. גישה זו מנוצלת לפריסת כלים מאיימים נוספים החיוניים לפעילותם. במקרים שבהם אישורי AWS מזוהים בהצלחה ונפגעים באתרים פגיעים, התוקפים ניסו ליצור משתמשים ומדיניות משתמשים חדשים.

יתרה מכך, מפעילי Andoxgh0st ממנפים אישורים גנובים כדי ליזום מופעי AWS חדשים, ומאפשרים להם לסרוק יעדים פגיעים נוספים ברחבי האינטרנט כחלק מהפעילות השוטפת שלהם.

כיצד למנוע התקפות זדוניות פוטנציאליות של Andoxgh0st?

כדי לצמצם את ההשפעה של התקפות תוכנות זדוניות Androxgh0st ולמזער את הסיכון לפגיעה, מומלץ למגיני הרשת ליישם את האמצעים הבאים:

• שמור על עדכון מערכות : ודא שכל מערכות ההפעלה, התוכנות והקושחה מתעדכנים באופן קבוע. באופן ספציפי, ודא ששרתי Apache אינם פועלים בגירסאות 2.4.49 או 2.4.50.
• תצורת URI : אשר שתצורת ברירת המחדל עבור כל מזהי המשאבים האחידים (URI) מוגדרת לדחות את כל הבקשות אלא אם יש צורך ספציפי ומוצדק בנגישות.
• הגדרות יישום Laravel : ודא שכל יישומי Laravel חיים אינם במצב 'ניפוי באגים' או בדיקה. הסר אישורי ענן מקובצי ‎.env ובטל אותם. בצע סקירה חד פעמית של אישורי ענן שנשמרו בעבר וערוך ביקורות שוטפות עבור סוגי אישורים אחרים שלא ניתן להסיר.
• סריקות של מערכת קבצים : סרוק את מערכת הקבצים של השרת לאיתור קבצי PHP לא מזוהים, עם תשומת לב מיוחדת לספריית השורש ולתיקיית /vendor/phpunit/phpunit/src/Util/PHP.
• בקשות GET יוצאות : סקור בקשות GET יוצאות, במיוחד אלו המשתמשות בפקודות cURL, לאתרי אירוח קבצים כמו GitHub או Pastebin. שימו לב במיוחד כאשר הבקשה ניגשת לקובץ php.

CISA עדכנה את קטלוג הפגיעות המנוצלות הידועות שלה בהתבסס על עדויות לניצול פעיל. נוספה ה-Deserialization של CVE-2018-15133 Laravel של פגיעות נתונים לא מהימנים, בעוד שמעבר נתיב ה-CVE-2021-41773 Apache HTTP Server ופגיעות הזרקת הפקודה CVE-2017-9841 PHPUnit נכללו בנובמבר 2021 ופברואר 2022, בהתאמה. תוספות אלו מטרתן להגביר את המודעות ולהנחות צעדים יזומים נגד נקודות תורפה ידועות הקשורות ל-Androxgh0st.