AndroxGh0st botnet

A CISA és az FBI közösen figyelmeztetést adott ki az Androxgh0st malware-t használó fenyegető szereplők tevékenységére vonatkozóan, akik aktívan építenek egy botnetet, különös tekintettel a felhőalapú hitelesítő adatok ellopására. Ezek a rosszindulatú szereplők az összegyűjtött információkat további káros rakományok telepítésére használják fel. A kiberbiztonsági kutatók először 2022-ben észlelték ezt a botnetet, amely akkor már több mint 40 000 eszköz felett szerezte meg az irányítást.

Ennek a botnetnek a működési módja magában foglalja a távoli kódvégrehajtásra (RCE) érzékeny webhelyek és szerverek sebezhetőségeinek keresését. A fenyegetés szereplői konkrét sebezhetőségeket céloznak meg, nevezetesen a CVE-2017-9841 (a PHPUnit egységteszt-keretrendszerhez kapcsolódó), a CVE-2021-41773 (az Apache HTTP-kiszolgálóhoz kapcsolódó) és a CVE-2018-15133 (a Laravel-hez kapcsolódik) PHP webes keretrendszer). E sérülékenységek kihasználásával az Androxgh0st malware megkönnyíti az illetéktelen hozzáférést, és lehetővé teszi a felhőalapú hitelesítő adatok ellopását, ami jelentős kiberbiztonsági kockázatot jelent.

Az AndroxGh0st malware érzékeny adatokat céloz meg a feltört eszközökön

Az Androxgh0st, egy Python által szkriptezett rosszindulatú program, elsősorban az olyan .env fájlok megcélzására szolgál, amelyek bizalmas információkat tárolnak, beleértve az olyan magas szintű alkalmazások hitelesítő adatait, mint az Amazon Web Services (AWS), a Microsoft Office 365, a SendGrid és a Twilio a Laravel webalkalmazási keretrendszeren belül. .

Ez a rosszindulatú program különféle funkciókkal büszkélkedhet, lehetővé téve a Simple Mail Transfer Protocol (SMTP) visszaélést. Képes átvizsgálni és kihasználni a nyilvánosságra hozott hitelesítő adatokat és alkalmazásprogramozási felületeket (API-kat), valamint webhéjakat telepíteni. A Twilio és a SendGrid hitelesítő adatainak kompromisszuma lehetővé teszi a fenyegetés szereplői számára, hogy spamkampányokat szervezzenek, kiadva a feltört vállalatokat.

Alkalmazásától függően az AndroxGh0st két elsődleges funkciót mutat a megszerzett hitelesítő adatokkal szemben. A gyakrabban megfigyelt lehetőség a feltört fiók e-mail-küldési korlátjának ellenőrzése annak megállapítása érdekében, hogy alkalmas-e spamküldésre.

A támadók azt is bemutatták, hogy hamis oldalakat hoztak létre a feltört webhelyeken, és ezzel egy hátsó ajtót hoztak létre az érzékeny információkat tartalmazó adatbázisokhoz való hozzáféréshez. Ezt a hozzáférést további fenyegető eszközök telepítésére használják, amelyek kulcsfontosságúak a működésükhöz. Azokban az esetekben, amikor az AWS-hitelesítő adatokat sikeresen azonosították és feltörték a sebezhető webhelyeken, a támadók új felhasználókat és felhasználói házirendeket próbáltak létrehozni.

Ezenkívül az Andoxgh0st üzemeltetői az ellopott hitelesítési adatokat felhasználva új AWS-példányokat indítanak el, lehetővé téve számukra, hogy további sebezhető célpontokat keressenek az interneten folyamatban lévő műveleteik részeként.

Hogyan lehet megakadályozni a lehetséges Andoxgh0st rosszindulatú támadásokat?

Az Androxgh0st rosszindulatú támadások hatásának mérséklése és a kompromittálás kockázatának minimalizálása érdekében a hálózat védelmezőinek a következő intézkedéseket javasoljuk:

• Rendszerek frissítése : Győződjön meg arról, hogy minden operációs rendszer, szoftver és firmware rendszeresen frissül. Pontosabban ellenőrizze, hogy az Apache-kiszolgálókon nem fut a 2.4.49-es vagy a 2.4.50-es verzió.
• URI-konfiguráció : Győződjön meg arról, hogy az összes egységes erőforrás-azonosító (URI) alapértelmezett konfigurációja úgy van beállítva, hogy minden kérést megtagadjon, hacsak nincs konkrét és indokolt a hozzáférhetőség igénye.
• Laravel alkalmazásbeállítások : Győződjön meg arról, hogy az élő Laravel alkalmazások nincsenek hibakeresési vagy tesztelési módban. Távolítsa el a felhőalapú hitelesítési adatokat az .env fájlokból, és vonja vissza őket. Végezzen egyszeri felülvizsgálatot a korábban tárolt felhőalapú hitelesítési adatokon, és folytassa a folyamatos ellenőrzéseket az egyéb, nem eltávolítható hitelesítő adatok esetében.
• Fájlrendszer-ellenőrzések : Vizsgálja meg a szerver fájlrendszerét, hogy keressen ismeretlen PHP-fájlokat, különös tekintettel a gyökérkönyvtárra és a /vendor/phpunit/phpunit/src/Util/PHP mappára.
• Kimenő GET-kérések : Tekintse át a kimenő GET-kéréseket, különösen a cURL-parancsokat használó fájlokat tároló webhelyekre, például a GitHubra vagy a Pastebinre. Különös figyelmet kell fordítani, amikor a kérés .php fájlhoz fér hozzá.

A CISA frissítette ismert kihasznált biztonsági rések katalógusát az aktív kihasználás bizonyítékai alapján. 2021 novemberében, illetve február 20-án a CVE-2018-15133 Laravel deszerializálása a nem megbízható adatokkal kapcsolatos sebezhetőséghez került hozzáadásra, míg a CVE-2021-41773 Apache HTTP Server útvonal bejárása és a CVE-2017-9841 PHPUnit parancsinjekciós sebezhetőség. Ezek a kiegészítések célja a tudatosság növelése és az Androxgh0st-hez kapcsolódó ismert sebezhetőségek elleni proaktív intézkedések meghozatala.