एंड्रॉक्सGh0st बॉटनेट

CISA और FBI ने संयुक्त रूप से Androxgh0st मैलवेयर का उपयोग करने वाले खतरे वाले अभिनेताओं की गतिविधियों के संबंध में एक चेतावनी जारी की है, जो क्लाउड क्रेडेंशियल्स की चोरी पर विशेष ध्यान देने के साथ सक्रिय रूप से एक बॉटनेट का निर्माण कर रहे हैं। ये द्वेषपूर्ण अभिनेता अतिरिक्त हानिकारक पेलोड तैनात करने के लिए एकत्रित जानकारी का लाभ उठाते हैं। शुरुआत में 2022 में साइबर सुरक्षा शोधकर्ताओं द्वारा पता लगाया गया था, इस बॉटनेट ने उस समय पहले ही 40,000 से अधिक उपकरणों पर नियंत्रण हासिल कर लिया था।

इस बॉटनेट की कार्यप्रणाली में रिमोट कोड निष्पादन (आरसीई) के प्रति संवेदनशील वेबसाइटों और सर्वरों में कमजोरियों की स्कैनिंग शामिल है। विशेष रूप से, खतरे के कारक विशिष्ट कमजोरियों को लक्षित करते हैं, अर्थात् CVE-2017-9841 (PHPUnit इकाई परीक्षण ढांचे से जुड़े), CVE-2021-41773 (Apache HTTP सर्वर से जुड़े), और CVE-2018-15133 (लारवेल से संबंधित) PHP वेब फ्रेमवर्क)। इन कमजोरियों का फायदा उठाकर, Androxgh0st मैलवेयर अनधिकृत पहुंच की सुविधा देता है और क्लाउड क्रेडेंशियल्स की चोरी को सक्षम बनाता है, जिससे एक महत्वपूर्ण साइबर सुरक्षा जोखिम पैदा होता है।

AndroxGh0st मैलवेयर टूटे हुए उपकरणों पर संवेदनशील डेटा को लक्षित करता है

Androxgh0st, एक पायथन-स्क्रिप्टेड मैलवेयर, मुख्य रूप से .env फ़ाइलों को लक्षित करने के लिए डिज़ाइन किया गया है जो गोपनीय जानकारी संग्रहीत करते हैं, जिसमें लारवेल वेब एप्लिकेशन फ्रेमवर्क के भीतर अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस), माइक्रोसॉफ्ट ऑफिस 365, सेंडग्रिड और ट्विलियो जैसे हाई-प्रोफाइल अनुप्रयोगों के लिए क्रेडेंशियल शामिल हैं। .

यह मैलवेयर विभिन्न कार्यक्षमताओं का दावा करता है, जो सिंपल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) के दुरुपयोग को सक्षम बनाता है। यह उजागर क्रेडेंशियल्स और एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) को स्कैन और शोषण कर सकता है, साथ ही वेब शेल को तैनात कर सकता है। ट्विलियो और सेंडग्रिड क्रेडेंशियल्स का समझौता धमकी देने वाले अभिनेताओं को उल्लंघन की गई कंपनियों का प्रतिरूपण करके स्पैम अभियान चलाने की अनुमति देता है।

अपने अनुप्रयोग के आधार पर, AndroxGh0st अर्जित क्रेडेंशियल्स के विरुद्ध दो प्राथमिक कार्य प्रदर्शित करता है। अधिक बार देखा गया है कि स्पैमिंग उद्देश्यों के लिए इसकी उपयुक्तता निर्धारित करने के लिए समझौता किए गए खाते की ईमेल भेजने की सीमा की जांच करना शामिल है।

हमलावरों ने संवेदनशील जानकारी वाले डेटाबेस तक पहुंचने के लिए पिछले दरवाजे की स्थापना करते हुए, समझौता की गई वेबसाइटों पर नकली पेज बनाने का भी प्रदर्शन किया है। इस पहुंच का उपयोग उनके संचालन के लिए महत्वपूर्ण अतिरिक्त धमकी देने वाले उपकरणों को तैनात करने के लिए किया जाता है। ऐसे उदाहरणों में जहां कमजोर वेबसाइटों पर AWS क्रेडेंशियल्स की सफलतापूर्वक पहचान की गई और उनसे समझौता किया गया, हमलावरों ने नए उपयोगकर्ता और उपयोगकर्ता नीतियां बनाने का प्रयास किया है।

इसके अलावा, Andoxgh0st ऑपरेटर नए AWS उदाहरण शुरू करने के लिए चोरी किए गए क्रेडेंशियल्स का लाभ उठाते हैं, जिससे उन्हें अपने चल रहे ऑपरेशन के हिस्से के रूप में इंटरनेट पर अतिरिक्त कमजोर लक्ष्यों को स्कैन करने की अनुमति मिलती है।

संभावित Andoxgh0st मैलवेयर हमलों को कैसे रोकें?

Androxgh0st मैलवेयर हमलों के प्रभाव को कम करने और समझौते के जोखिम को कम करने के लिए, नेटवर्क रक्षकों को निम्नलिखित उपायों को लागू करने की सलाह दी जाती है:

• सिस्टम को अपडेट रखें : सुनिश्चित करें कि सभी ऑपरेटिंग सिस्टम, सॉफ्टवेयर और फर्मवेयर नियमित रूप से अपडेट किए जाते हैं। विशेष रूप से, सत्यापित करें कि अपाचे सर्वर संस्करण 2.4.49 या 2.4.50 नहीं चला रहे हैं।
• यूआरआई कॉन्फ़िगरेशन : पुष्टि करें कि सभी यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (यूआरआई) के लिए डिफ़ॉल्ट कॉन्फ़िगरेशन सभी अनुरोधों को अस्वीकार करने के लिए सेट है जब तक कि पहुंच के लिए कोई विशिष्ट और उचित आवश्यकता न हो।
• लारवेल एप्लिकेशन सेटिंग्स : सुनिश्चित करें कि कोई भी लाइव लारवेल एप्लिकेशन 'डीबग' या परीक्षण मोड में नहीं है। .env फ़ाइलों से क्लाउड क्रेडेंशियल हटाएँ और उन्हें निरस्त करें। पहले से संग्रहीत क्लाउड क्रेडेंशियल्स की एक बार समीक्षा करें और अन्य क्रेडेंशियल प्रकारों के लिए चल रही समीक्षाएं करें जिन्हें हटाया नहीं जा सकता।
• फ़ाइल सिस्टम स्कैन : रूट निर्देशिका और /vendor/phpunit/phpunit/src/Util/PHP फ़ोल्डर पर विशेष ध्यान देते हुए, अज्ञात PHP फ़ाइलों के लिए सर्वर के फ़ाइल सिस्टम को स्कैन करें।
• आउटगोइंग GET अनुरोध : GitHub या Pastebin जैसी फ़ाइल-होस्टिंग साइटों के लिए आउटगोइंग GET अनुरोधों की समीक्षा करें, विशेष रूप से कर्ल कमांड का उपयोग करने वाले। जब अनुरोध किसी .php फ़ाइल तक पहुँचता है तो विशेष ध्यान दें।

सीआईएसए ने सक्रिय शोषण के साक्ष्य के आधार पर अपनी ज्ञात शोषित कमजोरियों की सूची को अद्यतन किया है। अविश्वसनीय डेटा भेद्यता का CVE-2018-15133 लारवेल डिसेरिएलाइज़ेशन जोड़ा गया था, जबकि CVE-2021-41773 Apache HTTP सर्वर पथ ट्रैवर्सल और CVE-2017-9841 PHPUnit कमांड इंजेक्शन कमजोरियाँ क्रमशः नवंबर 2021 और फरवरी 2022 में शामिल की गई थीं। इन परिवर्धनों का उद्देश्य जागरूकता बढ़ाना और Androxgh0st से जुड़ी ज्ञात कमजोरियों के खिलाफ सक्रिय उपाय करना है।