Multi-License Discount Quote
Grėsmių duomenų bazė Malware AndroxGh0st botnetas

AndroxGh0st botnetas

Autorius Mezo, Malware, Botnets
Versti į:
Lietuvių

CISA ir FTB kartu paskelbė įspėjimą dėl grėsmės veikėjų, naudojančių Androxgh0st kenkėjišką programinę įrangą, veiklos, kurios aktyviai kuria botnetą, ypatingą dėmesį skirdami debesų kredencialų vagystei. Šie piktavališki veikėjai naudoja surinktą informaciją, kad panaudotų papildomus kenksmingus krovinius. Iš pradžių kibernetinio saugumo tyrinėtojų aptiktas 2022 m. šis botnetas tuo metu jau valdė daugiau nei 40 000 įrenginių.

Šio botneto veikimo būdas apima pažeidžiamumų nuskaitymą svetainėse ir serveriuose, kuriuose gali būti vykdomas nuotolinis kodo vykdymas (RCE). Pažymėtina, kad grėsmės veikėjai taikosi į konkrečius pažeidžiamumus, būtent CVE-2017-9841 (susijusius su PHPUnit vieneto testavimo sistema), CVE-2021-41773 (susietu su Apache HTTP serveriu) ir CVE-2018-15133 (susijusiu su Laravel). PHP žiniatinklio sistema). Išnaudodama šiuos pažeidžiamumus, Androxgh0st kenkėjiška programa palengvina neteisėtą prieigą ir leidžia pavogti debesies kredencialus, o tai kelia didelę kibernetinio saugumo riziką.

„AndroxGh0st“ kenkėjiška programa taiko jautrius duomenis apie pažeistus įrenginius

„Androxgh0st“, „Python“ scenarijų sukurta kenkėjiška programa, pirmiausia skirta nukreipti į .env failus, kuriuose saugoma konfidenciali informacija, įskaitant aukšto lygio programų, tokių kaip „Amazon Web Services“ (AWS), „Microsoft Office 365“, „SendGrid“ ir „Twilio“, „Laravel“ žiniatinklio programų sistemoje kredencialus. .

Ši kenkėjiška programa pasižymi įvairiomis funkcijomis, leidžiančiomis piktnaudžiauti paprastu pašto perdavimo protokolu (SMTP). Jis gali nuskaityti ir išnaudoti atskleistus kredencialus ir programų programavimo sąsajas (API), taip pat įdiegti žiniatinklio apvalkalus. Kompromisas dėl „Twilio“ ir „SendGrid“ kredencialų leidžia grėsmės veikėjams organizuoti šlamšto kampanijas, apsimesti pažeistomis įmonėmis.

Priklausomai nuo taikymo, AndroxGh0st turi dvi pagrindines funkcijas, palyginti su įgytais kredencialais. Dažniau pastebėta, kad patikrinama pažeistos paskyros el. laiškų siuntimo riba, siekiant nustatyti jos tinkamumą šiukšlių siuntimo tikslams.

Užpuolikai taip pat pademonstravo, kad pažeistose svetainėse kuria netikrus puslapius, sukurdami užpakalines duris prieiti prie duomenų bazių, kuriose yra neskelbtinos informacijos. Ši prieiga naudojama papildomoms grėsmingoms priemonėms, kurios yra būtinos jų veiklai, įdiegti. Tais atvejais, kai AWS kredencialai sėkmingai identifikuojami ir pažeidžiamose svetainėse yra pažeisti, užpuolikai bandė sukurti naujus vartotojus ir vartotojų politiką.

Be to, „Andoxgh0st“ operatoriai naudoja pavogtus kredencialus, kad inicijuotų naujus AWS egzempliorius, leisdami jiems nuskaityti, ar nėra papildomų pažeidžiamų objektų visame internete, kaip dalį savo vykdomų operacijų.

Kaip apsisaugoti nuo galimų Andoxgh0st kenkėjiškų programų atakų?

Siekiant sušvelninti Androxgh0st kenkėjiškų programų atakų poveikį ir sumažinti kompromiso riziką, tinklo gynėjams patariama įgyvendinti šias priemones:

  • Atnaujinkite sistemas : įsitikinkite, kad visos operacinės sistemos, programinė įranga ir programinė įranga yra reguliariai atnaujinami. Tiksliau, patikrinkite, ar „Apache“ serveriuose neveikia 2.4.49 arba 2.4.50 versijos.
  • URI konfigūracija : patvirtinkite, kad numatytoji visų Uniform Resource Identifiers (URI) konfigūracija nustatyta taip, kad būtų atmestos visos užklausos, nebent yra konkretus ir pagrįstas prieinamumo poreikis.
  • „Laravel“ taikomųjų programų nustatymai : įsitikinkite, kad visos „Laravel“ programos nėra „derinimo“ arba testavimo režimu. Pašalinkite debesies kredencialus iš .env failų ir anuliuokite juos. Atlikite vienkartinę anksčiau saugomų debesies kredencialų peržiūrą ir nuolatines kitų tipų kredencialų, kurių negalima pašalinti, peržiūras.
  • Failų sistemos nuskaitymas : nuskaitykite serverio failų sistemą, ar nėra neatpažintų PHP failų, ypatingą dėmesį skirdami šakniniam katalogui ir aplankui /vendor/phpunit/phpunit/src/Util/PHP.
  • Siunčiamos GET užklausos : peržiūrėkite siunčiamas GET užklausas, ypač tas, kuriose naudojamos cURL komandos, į failų prieglobos svetaines, pvz., „GitHub“ ar „Pastebin“. Ypatingą dėmesį atkreipkite, kai užklausa pasiekia .php failą.

Remdamasi aktyvaus išnaudojimo įrodymais, CISA atnaujino žinomų išnaudotų pažeidžiamų vietų katalogą. Buvo pridėtas nepatikimų duomenų pažeidžiamumo CVE-2018-15133 Laravel deserializavimas, o CVE-2021-41773 Apache HTTP serverio kelio ir CVE-2017-9841 PHPUnit komandos įpurškimo spragos buvo įtrauktos atitinkamai 2021 m. lapkričio mėn. ir vasario 20 d. Šiais papildymais siekiama padidinti informuotumą ir imtis aktyvių priemonių prieš žinomus pažeidžiamumus, susijusius su Androxgh0st.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
29,254
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...