AndroxGh0st Botnet

CISA i FBI zajednički su izdali upozorenje u vezi s aktivnostima aktera prijetnji koji koriste zlonamjerni softver Androxgh0st, koji aktivno izgrađuju botnet s posebnim fokusom na krađu vjerodajnica u oblaku. Ovi zlonamjerni akteri iskorištavaju prikupljene informacije za postavljanje dodatnog štetnog tereta. Ovaj botnet, koji su prvotno otkrili istraživači kibernetičke sigurnosti 2022. godine, već je u to vrijeme preuzeo kontrolu nad više od 40.000 uređaja.

Modus operandi ovog botneta uključuje skeniranje ranjivosti na web stranicama i poslužiteljima koji su osjetljivi na daljinsko izvršavanje koda (RCE). Naime, akteri prijetnji ciljaju na specifične ranjivosti, naime CVE-2017-9841 (povezano s PHPUnit okvirom za jedinično testiranje), CVE-2021-41773 (povezano s Apache HTTP poslužiteljem) i CVE-2018-15133 (povezano s Laravelom PHP web okvir). Iskorištavanjem ovih ranjivosti, zlonamjerni softver Androxgh0st olakšava neovlašteni pristup i omogućuje krađu vjerodajnica u oblaku, što predstavlja značajan rizik za kibernetičku sigurnost.

Zlonamjerni softver AndroxGh0st cilja na osjetljive podatke na oštećenim uređajima

Androxgh0st, zlonamjerni softver skriptiran u Pythonu, prvenstveno je dizajniran za ciljanje .env datoteka koje pohranjuju povjerljive informacije, uključujući vjerodajnice za visokoprofilne aplikacije kao što su Amazon Web Services (AWS), Microsoft Office 365, SendGrid i Twilio unutar Laravel web aplikacijskog okvira .

Ovaj se zlonamjerni softver može pohvaliti raznim funkcijama, omogućujući zlouporabu Simple Mail Transfer Protocol-a (SMTP). Može skenirati i iskoristiti izložene vjerodajnice i sučelja za programiranje aplikacija (API), kao i implementirati web ljuske. Kompromis Twilio i SendGrid vjerodajnica omogućuje akterima prijetnji da orkestriraju kampanje neželjene pošte, lažno predstavljajući tvrtke koje su provaljene.

Ovisno o svojoj primjeni, AndroxGh0st pokazuje dvije primarne funkcije u odnosu na stečene vjerodajnice. Ona koja se češće promatra uključuje provjeru ograničenja slanja e-pošte kompromitiranog računa kako bi se utvrdila njegova prikladnost za slanje neželjene pošte.

Napadači su također demonstrirali stvaranje lažnih stranica na kompromitiranim web stranicama, uspostavljajući stražnja vrata za pristup bazama podataka koje sadrže osjetljive informacije. Ovaj se pristup koristi za postavljanje dodatnih prijetećih alata ključnih za njihov rad. U slučajevima kada su AWS vjerodajnice uspješno identificirane i ugrožene na ranjivim web stranicama, napadači su pokušali stvoriti nove korisnike i korisnička pravila.

Štoviše, Andoxgh0st operateri iskorištavaju ukradene vjerodajnice za pokretanje novih instanci AWS-a, što im omogućuje skeniranje dodatnih ranjivih ciljeva na Internetu kao dio njihovih tekućih operacija.

Kako spriječiti potencijalne Andoxgh0st napade zlonamjernog softvera?

Kako bi ublažili utjecaj napada zlonamjernog softvera Androxgh0st i minimizirali rizik od kompromitacije, mrežnim braniteljima savjetuje se da provedu sljedeće mjere:

• Održavajte ažurirane sustave : Osigurajte da se svi operativni sustavi, softver i firmware redovito ažuriraju. Konkretno, provjerite pokreću li Apache poslužitelji verzije 2.4.49 ili 2.4.50.
• Konfiguracija URI-ja : Potvrdite da je zadana konfiguracija za sve jedinstvene identifikatore resursa (URI) postavljena da odbije sve zahtjeve osim ako postoji posebna i opravdana potreba za pristupačnošću.
• Postavke Laravel aplikacije : Provjerite da nijedna živa Laravel aplikacija nije u 'debug' ili test modu. Uklonite vjerodajnice iz oblaka iz .env datoteka i opozovite ih. Izvršite jednokratni pregled prethodno pohranjenih vjerodajnica u oblaku i provodite stalne preglede za druge vrste vjerodajnica koje se ne mogu ukloniti.
• Skeniranje datotečnog sustava : skenirajte datotečni sustav poslužitelja u potrazi za neprepoznatim PHP datotekama, s posebnom pažnjom na korijenski direktorij i mapu /vendor/phpunit/phpunit/src/Util/PHP.
• Odlazni GET zahtjevi : pregledajte odlazne GET zahtjeve, posebno one koji koriste cURL naredbe, za web stranice za hosting datoteka kao što su GitHub ili Pastebin. Obratite posebnu pozornost kada zahtjev pristupa .php datoteci.

CISA je ažurirala svoj Katalog poznatih iskorištenih ranjivosti na temelju dokaza o aktivnom iskorištavanju. Dodana je ranjivost CVE-2018-15133 Laravel deserijalizacije nepouzdanih podataka, dok su CVE-2021-41773 Apache HTTP Server path traversal i CVE-2017-9841 PHPUnit ranjivosti ubrizgavanja naredbi uključene u studenom 2021. odnosno veljači 2022. Ovi dodaci imaju za cilj povećati svijest i pokrenuti proaktivne mjere protiv poznatih ranjivosti povezanih s Androxgh0st.