Multi-License Discount Quote
Draudu datu bāze Malware AndroxGh0st robottīkls

AndroxGh0st robottīkls

Līdz Mezo. gadam Malware, Botnets. gadā
Tulkot uz:
Latviešu

CISA un FIB ir kopīgi izteikuši brīdinājumu par draudu dalībnieku darbībām, izmantojot ļaunprogrammatūru Androxgh0st, kuri aktīvi veido robottīklu, īpašu uzmanību pievēršot mākoņa akreditācijas datu zādzībai. Šie ļaundabīgie dalībnieki izmanto savākto informāciju, lai izvietotu papildu kaitīgās kravas. Šo robottīklu sākotnēji atklāja kiberdrošības pētnieki 2022. gadā, un tobrīd tas jau bija ieguvis kontroli pār vairāk nekā 40 000 ierīču.

Šī robottīkla darbības veids ietver ievainojamību meklēšanu vietnēs un serveros, kas ir pakļauti attālai koda izpildei (RCE). Konkrēti, draudu dalībnieki ir vērsti pret konkrētām ievainojamībām, proti, CVE-2017-9841 (saistīts ar PHPUnit vienības testēšanas sistēmu), CVE-2021-41773 (saistīts ar Apache HTTP serveri) un CVE-2018-15133 (saistīts ar Laravel). PHP tīmekļa ietvars). Izmantojot šīs ievainojamības, ļaunprogrammatūra Androxgh0st atvieglo nesankcionētu piekļuvi un ļauj nozagt mākoņa akreditācijas datus, radot ievērojamu kiberdrošības risku.

Ļaunprātīga programmatūra AndroxGh0st ir mērķēta uz sensitīviem datiem ierīcēs, kurās tiek pārkāpti bojājumi

Androxgh0st, Python skripta ļaunprātīga programmatūra, galvenokārt paredzēta, lai atlasītu .env failus, kuros tiek glabāta konfidenciāla informācija, tostarp akreditācijas dati tādām augsta profila lietojumprogrammām kā Amazon Web Services (AWS), Microsoft Office 365, SendGrid un Twilio Laravel Web lietojumprogrammu ietvaros. .

Šai ļaunprogrammatūrai ir dažādas funkcijas, kas ļauj ļaunprātīgi izmantot vienkāršā pasta pārsūtīšanas protokolu (SMTP). Tas var skenēt un izmantot atklātos akreditācijas datus un lietojumprogrammu saskarnes (API), kā arī izvietot tīmekļa čaulas. Twilio un SendGrid akreditācijas datu kompromiss ļauj draudu dalībniekiem organizēt surogātpasta kampaņas, uzdodoties par pārkāptajiem uzņēmumiem.

Atkarībā no tā lietojuma AndroxGh0st ir divas galvenās funkcijas, salīdzinot ar iegūtajiem akreditācijas datiem. Biežāk novērotā ir apdraudētā konta e-pasta sūtīšanas limita pārbaude, lai noteiktu tā piemērotību surogātpasta sūtīšanas nolūkiem.

Uzbrucēji arī demonstrējuši viltotu lapu izveidi uzlauztajās vietnēs, izveidojot aizmugures durvis, lai piekļūtu datu bāzēm, kurās ir sensitīva informācija. Šī piekļuve tiek izmantota, lai izvietotu papildu apdraudošus rīkus, kas ir būtiski viņu darbībai. Gadījumos, kad AWS akreditācijas dati tiek veiksmīgi identificēti un apdraudēti neaizsargātās vietnēs, uzbrucēji ir mēģinājuši izveidot jaunus lietotājus un lietotāju politikas.

Turklāt Andoxgh0st operatori izmanto nozagtos akreditācijas datus, lai uzsāktu jaunus AWS gadījumus, ļaujot tiem nepārtrauktās darbības ietvaros meklēt papildu neaizsargātus mērķus internetā.

Kā novērst iespējamos Andoxgh0st ļaunprātīgas programmatūras uzbrukumus?

Lai mazinātu Androxgh0st ļaunprātīgas programmatūras uzbrukumu ietekmi un samazinātu kompromitēšanas risku, tīkla aizstāvjiem tiek ieteikts īstenot šādus pasākumus:

  • Sistēmu atjaunināšana : nodrošiniet, lai visas operētājsistēmas, programmatūra un programmaparatūra tiktu regulāri atjauninātas. Konkrēti, pārbaudiet, vai Apache serveros nedarbojas versijas 2.4.49 vai 2.4.50.
  • URI konfigurācija : apstipriniet, ka visu vienoto resursu identifikatoru (URI) noklusējuma konfigurācija ir iestatīta tā, lai tiktu noraidīti visi pieprasījumi, ja vien nav īpašas un pamatotas pieejamības nepieciešamības.
  • Laravel lietojumprogrammu iestatījumi : pārliecinieties, ka jebkuras tiešās Laravel lietojumprogrammas nav “atkļūdošanas” vai testēšanas režīmā. Noņemiet mākoņa akreditācijas datus no .env failiem un atsauciet tos. Veiciet vienreizēju iepriekš saglabāto mākoņa akreditācijas datu pārskatīšanu un nepārtraukti pārbaudiet citus akreditācijas datu veidus, kurus nevar noņemt.
  • Failu sistēmas skenēšana : pārbaudiet servera failu sistēmu, lai atrastu neatpazītus PHP failus, īpašu uzmanību pievēršot saknes direktorijam un mapei /vendor/phpunit/phpunit/src/Util/PHP.
  • Izejošie GET pieprasījumi : pārskatiet izejošos GET pieprasījumus, īpaši tos, kuros tiek izmantotas cURL komandas, uz failu mitināšanas vietnēm, piemēram, GitHub vai Pastebin. Pievērsiet īpašu uzmanību, ja pieprasījums piekļūst .php failam.

CISA ir atjauninājusi savu zināmo izmantoto ievainojamību katalogu, pamatojoties uz pierādījumiem par aktīvu izmantošanu. Tika pievienota neuzticamu datu ievainojamības CVE-2018-15133 Laravel deserializācija, savukārt CVE-2021-41773 Apache HTTP servera ceļa šķērsošana un CVE-2017-9841 PHPUnit komandu injekcijas ievainojamība tika iekļauta attiecīgi 2021. gada novembrī un 20. februārī. Šo papildinājumu mērķis ir uzlabot informētību un veikt proaktīvus pasākumus pret zināmajām ievainojamībām, kas saistītas ar Androxgh0st.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
29,254
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...