Multi-License Discount Quote
Pangkalan Data Ancaman Malware AndroxGh0st Botnet

AndroxGh0st Botnet

Menjelang Mezo pada Malware, Botnets
Terjemahkan ke
بهاس ملايو

CISA dan FBI telah bersama-sama mengeluarkan amaran mengenai aktiviti pelaku ancaman yang menggunakan perisian hasad Androxgh0st, yang secara aktif membina botnet dengan tumpuan khusus pada pencurian bukti kelayakan awan. Pelakon jahat ini memanfaatkan maklumat yang dikumpul untuk menggunakan muatan berbahaya tambahan. Pada mulanya dikesan oleh penyelidik keselamatan siber pada 2022, botnet ini telah pun mendapat kawalan ke atas lebih 40,000 peranti pada masa itu.

Modus operandi botnet ini melibatkan pengimbasan untuk mencari kelemahan dalam tapak web dan pelayan yang terdedah kepada pelaksanaan kod jauh (RCE). Terutamanya, pelaku ancaman menyasarkan kelemahan khusus, iaitu CVE-2017-9841 (dikaitkan dengan rangka kerja ujian unit PHPUnit), CVE-2021-41773 (dipautkan kepada Pelayan HTTP Apache), dan CVE-2018-15133 (berkaitan dengan Laravel rangka kerja web PHP). Dengan mengeksploitasi kelemahan ini, perisian hasad Androxgh0st memudahkan akses tanpa kebenaran dan membolehkan pencurian kelayakan awan, menimbulkan risiko keselamatan siber yang ketara.

Perisian Hasad AndroxGh0st Menyasarkan Data Sensitif pada Peranti Yang Dilanggar

Androxgh0st, perisian hasad skrip Python, direka terutamanya untuk menyasarkan fail .env yang menyimpan maklumat sulit, termasuk bukti kelayakan untuk aplikasi berprofil tinggi seperti Perkhidmatan Web Amazon (AWS), Microsoft Office 365, SendGrid dan Twilio dalam rangka kerja aplikasi Web Laravel .

Malware ini mempunyai pelbagai fungsi, membolehkan penyalahgunaan Simple Mail Transfer Protocol (SMTP). Ia boleh mengimbas dan mengeksploitasi bukti kelayakan terdedah dan antara muka pengaturcaraan aplikasi (API), serta menggunakan cangkerang Web. Kompromi kelayakan Twilio dan SendGrid membolehkan pelaku ancaman mengatur kempen spam, menyamar sebagai syarikat yang dilanggar.

Bergantung pada aplikasinya, AndroxGh0st mempamerkan dua fungsi utama terhadap kelayakan yang diperoleh. Yang lebih kerap diperhatikan melibatkan menyemak had penghantaran e-mel akaun yang terjejas untuk menentukan kesesuaiannya untuk tujuan spam.

Penyerang juga telah menunjukkan penciptaan halaman palsu pada tapak web yang terjejas, mewujudkan pintu belakang untuk mengakses pangkalan data yang mengandungi maklumat sensitif. Akses ini digunakan untuk menggunakan alat ancaman tambahan yang penting untuk operasi mereka. Dalam keadaan di mana bukti kelayakan AWS berjaya dikenal pasti dan dikompromi pada tapak web yang terdedah, penyerang telah cuba mencipta pengguna baharu dan dasar pengguna.

Selain itu, pengendali Andoxgh0st memanfaatkan kelayakan yang dicuri untuk memulakan kejadian AWS baharu, membolehkan mereka mengimbas sasaran terdedah tambahan di seluruh Internet sebagai sebahagian daripada operasi berterusan mereka.

Bagaimana untuk Mencegah Potensi Serangan Malware Andoxgh0st?

Untuk mengurangkan kesan serangan malware Androxgh0st dan meminimumkan risiko kompromi, pembela rangkaian dinasihatkan untuk melaksanakan langkah-langkah berikut:

  • Pastikan Sistem Kemas Kini : Pastikan semua sistem pengendalian, perisian dan perisian tegar sentiasa dikemas kini. Secara khusus, sahkan bahawa pelayan Apache tidak menjalankan versi 2.4.49 atau 2.4.50.
  • Konfigurasi URI : Sahkan bahawa konfigurasi lalai untuk semua Uniform Resource Identifiers (URI) ditetapkan untuk menafikan semua permintaan melainkan terdapat keperluan khusus dan wajar untuk kebolehaksesan.
  • Tetapan Aplikasi Laravel : Pastikan mana-mana aplikasi Laravel langsung tidak berada dalam mod 'debug' atau ujian. Alih keluar bukti kelayakan awan daripada fail .env dan batalkannya. Lakukan semakan sekali sahaja untuk bukti kelayakan awan yang disimpan sebelum ini dan jalankan semakan berterusan untuk jenis bukti kelayakan lain yang tidak boleh dialih keluar.
  • Imbasan Sistem Fail : Imbas sistem fail pelayan untuk fail PHP yang tidak dikenali, dengan perhatian khusus kepada direktori akar dan folder /vendor/phpunit/phpunit/src/Util/PHP.
  • Permintaan GET Keluar : Semak permintaan GET keluar, terutamanya yang menggunakan arahan cURL, ke tapak pengehosan fail seperti GitHub atau Pastebin. Beri perhatian khusus apabila permintaan mengakses fail .php.

CISA telah mengemas kini Katalog Kerentanan Dieksploitasi yang Diketahui berdasarkan bukti eksploitasi aktif. Penyahserialisasian CVE-2018-15133 Laravel terhadap kerentanan data yang tidak dipercayai telah ditambahkan, manakala traversal laluan Pelayan HTTP CVE-2021-41773 Apache dan kelemahan suntikan arahan CVE-2017-9841 PHPUnit dimasukkan pada November 2021 dan Februari 2022, masing-masing. Penambahan ini bertujuan untuk meningkatkan kesedaran dan langkah proaktif segera terhadap kelemahan yang diketahui berkaitan dengan Androxgh0st.

Trending

Paling banyak dilihat

Memuatkan...