AndroxGh0st 봇넷

CISA와 FBI는 클라우드 자격 증명 도용에 특히 초점을 맞춰 봇넷을 적극적으로 구축하고 있는 Androxgh0st 악성 코드를 활용하는 위협 행위자의 활동에 대해 공동으로 경고를 발표했습니다. 이러한 악의적인 행위자는 수집된 정보를 활용하여 추가적인 유해 페이로드를 배포합니다. 2022년 사이버 보안 연구원에 의해 처음 탐지된 이 봇넷은 당시 이미 40,000개 이상의 장치를 제어할 수 있었습니다.

이 봇넷의 작업 방식에는 RCE(원격 코드 실행)에 취약한 웹 사이트 및 서버의 취약점을 검색하는 작업이 포함됩니다. 특히 위협 행위자는 CVE-2017-9841(PHPUnit 단위 테스트 프레임워크와 관련됨), CVE-2021-41773(Apache HTTP 서버와 관련됨), CVE-2018-15133(Laravel과 관련됨)과 같은 특정 취약점을 표적으로 삼습니다. PHP 웹 프레임워크). Androxgh0st 악성 코드는 이러한 취약점을 악용하여 무단 액세스를 촉진하고 클라우드 자격 증명을 도용하여 심각한 사이버 보안 위험을 초래합니다.

AndroxGh0st 악성 코드는 침해된 장치의 민감한 데이터를 표적으로 삼습니다.

Python 스크립트 악성 코드인 Androxgh0st는 주로 Laravel 웹 애플리케이션 프레임워크 내의 Amazon Web Services(AWS), Microsoft Office 365, SendGrid 및 Twilio와 같은 주요 애플리케이션에 대한 자격 증명을 포함하여 기밀 정보를 저장하는 .env 파일을 표적으로 삼도록 설계되었습니다. .

이 악성코드는 다양한 기능을 자랑하며 SMTP(Simple Mail Transfer Protocol)를 남용할 수 있습니다. 노출된 자격 증명과 API(애플리케이션 프로그래밍 인터페이스)를 검색 및 활용하고 웹 셸을 배포할 수 있습니다. Twilio 및 SendGrid 자격 증명이 손상되면 위협 행위자가 스팸 캠페인을 조율하여 침해된 회사를 사칭할 수 있습니다.

응용 프로그램에 따라 AndroxGh0st는 획득한 자격 증명에 대해 두 가지 주요 기능을 나타냅니다. 가장 자주 관찰되는 방법은 스팸 목적에 대한 적합성을 판단하기 위해 손상된 계정의 이메일 전송 한도를 확인하는 것입니다.

공격자는 또한 손상된 웹사이트에 가짜 페이지를 생성하여 민감한 정보가 포함된 데이터베이스에 액세스하기 위한 백도어를 구축하는 방법을 시연했습니다. 이 액세스는 작업에 중요한 추가 위협 도구를 배포하는 데 사용됩니다. AWS 자격 증명이 취약한 웹 사이트에서 성공적으로 식별되고 손상되는 경우 공격자는 새로운 사용자 및 사용자 정책을 만들려고 시도했습니다.

또한 Andoxgh0st 운영자는 훔친 자격 증명을 활용하여 새로운 AWS 인스턴스를 시작하여 지속적인 작업의 일환으로 인터넷에서 추가 취약 대상을 검색할 수 있습니다.

잠재적인 Andoxgh0st 악성 코드 공격을 방지하는 방법은 무엇입니까?

Androxgh0st 악성 코드 공격의 영향을 완화하고 손상 위험을 최소화하기 위해 네트워크 방어자는 다음 조치를 구현하는 것이 좋습니다.

• 시스템 업데이트 유지 : 모든 운영 체제, 소프트웨어 및 펌웨어가 정기적으로 업데이트되는지 확인하십시오. 특히 Apache 서버가 버전 2.4.49 또는 2.4.50을 실행하고 있지 않은지 확인하십시오.
• URI 구성 : 모든 URI(Uniform Resource Identifier)에 대한 기본 구성이 접근성에 대한 구체적이고 정당한 요구가 없는 한 모든 요청을 거부하도록 설정되어 있는지 확인합니다.
• Laravel 애플리케이션 설정 : 라이브 Laravel 애플리케이션이 '디버그' 또는 테스트 모드에 있지 않은지 확인하세요. .env 파일에서 클라우드 자격 증명을 제거하고 취소합니다. 이전에 저장된 클라우드 자격 증명을 일회성 검토를 수행하고 제거할 수 없는 다른 자격 증명 유형에 대해 지속적인 검토를 수행합니다.
• 파일 시스템 검색 : 루트 디렉터리와 /vendor/phpunit/phpunit/src/Util/PHP 폴더에 특히 주의하면서 서버의 파일 시스템에서 인식할 수 없는 PHP 파일을 검색합니다.
• 나가는 GET 요청 : GitHub 또는 Pastebin과 같은 파일 호스팅 사이트에 대한 나가는 GET 요청, 특히 cURL 명령을 사용하는 요청을 검토합니다. 요청이 .php 파일에 액세스할 때 특별한 주의를 기울이십시오.

CISA는 현재 악용되고 있는 증거를 바탕으로 알려진 악용 취약점 카탈로그를 업데이트했습니다. CVE-2018-15133 신뢰할 수 없는 데이터의 Laravel 역직렬화 취약점이 추가되었으며, CVE-2021-41773 Apache HTTP Server 경로 탐색 및 CVE-2017-9841 PHPUnit 명령 삽입 취약점은 각각 2021년 11월과 2022년 2월에 포함되었습니다. 이러한 추가 사항은 Androxgh0st와 관련된 알려진 취약점에 대한 인식을 높이고 즉각적인 사전 조치를 취하는 것을 목표로 합니다.