La botnet AndroxGh0st

La CISA e l'FBI hanno emesso congiuntamente un avvertimento riguardante le attività degli autori di minacce che utilizzano il malware Androxgh0st, che stanno costruendo attivamente una botnet con un focus specifico sul furto di credenziali cloud. Questi attori malevoli sfruttano le informazioni raccolte per distribuire ulteriori carichi dannosi. Rilevata inizialmente dai ricercatori di sicurezza informatica nel 2022, questa botnet aveva già acquisito il controllo su più di 40.000 dispositivi.

Il modus operandi di questa botnet prevede la scansione delle vulnerabilità nei siti Web e nei server suscettibili all'esecuzione di codice remoto (RCE). In particolare, gli autori delle minacce prendono di mira vulnerabilità specifiche, vale a dire CVE-2017-9841 (associato al framework di test unitario PHPUnit), CVE-2021-41773 (collegato al server HTTP Apache) e CVE-2018-15133 (correlato al server Laravel framework web PHP). Sfruttando queste vulnerabilità, il malware Androxgh0st facilita l’accesso non autorizzato e consente il furto di credenziali cloud, ponendo un significativo rischio per la sicurezza informatica.

Il malware AndroxGh0st prende di mira i dati sensibili sui dispositivi violati

Androxgh0st, un malware basato su script Python, è progettato principalmente per prendere di mira i file .env che archiviano informazioni riservate, comprese le credenziali per applicazioni di alto profilo come Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio all'interno del framework delle applicazioni Web Laravel .

Questo malware vanta diverse funzionalità che consentono l'abuso del protocollo SMTP (Simple Mail Transfer Protocol). Può scansionare e sfruttare credenziali esposte e interfacce di programmazione delle applicazioni (API), nonché distribuire shell Web. La compromissione delle credenziali Twilio e SendGrid consente agli autori delle minacce di orchestrare campagne di spam, impersonando le aziende violate.

A seconda della sua applicazione, AndroxGh0st presenta due funzioni principali rispetto alle credenziali acquisite. Quello osservato più frequentemente prevede il controllo del limite di invio di e-mail dell'account compromesso per determinarne l'idoneità a scopi di spam.

Gli aggressori hanno anche dimostrato la creazione di pagine false su siti Web compromessi, creando una backdoor per accedere a database contenenti informazioni sensibili. Questo accesso viene utilizzato per implementare ulteriori strumenti minacciosi cruciali per le loro operazioni. Nei casi in cui le credenziali AWS vengono identificate e compromesse con successo su siti Web vulnerabili, gli aggressori hanno tentato di creare nuovi utenti e policy utente.

Inoltre, gli operatori Andoxgh0st sfruttano le credenziali rubate per avviare nuove istanze AWS, consentendo loro di cercare ulteriori obiettivi vulnerabili su Internet come parte delle loro operazioni in corso.

Come prevenire i potenziali attacchi malware Andoxgh0st?

Per mitigare l'impatto degli attacchi malware Androxgh0st e ridurre al minimo il rischio di compromissione, si consiglia ai difensori della rete di implementare le seguenti misure:

• Mantieni i sistemi aggiornati : assicurati che tutti i sistemi operativi, il software e il firmware siano aggiornati regolarmente. Nello specifico, verifica che i server Apache non eseguano le versioni 2.4.49 o 2.4.50.
• Configurazione URI : verificare che la configurazione predefinita per tutti gli URI (Uniform Resource Identifier) sia impostata per negare tutte le richieste a meno che non vi sia una specifica e giustificata necessità di accessibilità.
• Impostazioni dell'applicazione Laravel : assicurati che tutte le applicazioni Laravel live non siano in modalità "debug" o test. Rimuovi le credenziali cloud dai file .env e revocale. Esegui una revisione una tantum delle credenziali cloud precedentemente archiviate e conduci revisioni continue per altri tipi di credenziali che non possono essere rimossi.
• Scansioni del file system : scansiona il file system del server alla ricerca di file PHP non riconosciuti, con particolare attenzione alla directory root e alla cartella /vendor/phpunit/phpunit/src/Util/PHP.
• Richieste GET in uscita : esamina le richieste GET in uscita, in particolare quelle che utilizzano comandi cURL, a siti di hosting di file come GitHub o Pastebin. Prestare particolare attenzione quando la richiesta accede a un file .php.

CISA ha aggiornato il suo catalogo delle vulnerabilità note sfruttate sulla base delle prove di sfruttamento attivo. È stata aggiunta la vulnerabilità CVE-2018-15133 Laravel relativa alla deserializzazione dei dati non attendibili, mentre le vulnerabilità CVE-2021-41773 Apache HTTP Server path traversal e CVE-2017-9841 PHPUnit command injection sono state incluse rispettivamente a novembre 2021 e febbraio 2022. Queste aggiunte mirano a migliorare la consapevolezza e a promuovere misure proattive contro le vulnerabilità note associate ad Androxgh0st.