AndroxGh0st Botnet

CISA og FBI har i fellesskap utstedt en advarsel angående aktivitetene til trusselaktører som bruker Androxgh0st malware, som aktivt bygger et botnett med et spesifikt fokus på tyveri av skylegitimasjon. Disse ondsinnede aktørene utnytter den innsamlede informasjonen til å distribuere ytterligere skadelige nyttelaster. Opprinnelig oppdaget av cybersikkerhetsforskere i 2022, hadde dette botnettet allerede fått kontroll over mer enn 40 000 enheter på den tiden.

Metoden til dette botnettet innebærer skanning etter sårbarheter på nettsteder og servere som er mottakelige for ekstern kjøring av kode (RCE). Spesielt er trusselaktørene rettet mot spesifikke sårbarheter, nemlig CVE-2017-9841 (assosiert med PHPUnit enhetstestramme), CVE-2021-41773 (koblet til Apache HTTP Server), og CVE-2018-15133 (relatert til Laravel PHP-nettrammeverk). Ved å utnytte disse sårbarhetene, letter Androxgh0st malware uautorisert tilgang og muliggjør tyveri av skylegitimasjon, noe som utgjør en betydelig cybersikkerhetsrisiko.

AndroxGh0st Malware retter seg mot sensitive data på enheter som brytes

Androxgh0st, en Python-skriptet skadelig programvare, er først og fremst designet for å målrette mot .env-filer som lagrer konfidensiell informasjon, inkludert legitimasjon for høyprofilerte applikasjoner som Amazon Web Services (AWS), Microsoft Office 365, SendGrid og Twilio innenfor Laravel Web-applikasjonsrammeverket .

Denne skadelige programvaren har ulike funksjoner, som muliggjør misbruk av Simple Mail Transfer Protocol (SMTP). Den kan skanne og utnytte utsatt legitimasjon og applikasjonsprogrammeringsgrensesnitt (API), samt distribuere web-skall. Kompromisset med Twilio- og SendGrid-legitimasjonen gjør det mulig for trusselaktører å organisere spamkampanjer, og utgi seg for å utgi seg for selskapene som har blitt brutt.

Avhengig av applikasjonen, viser AndroxGh0st to primære funksjoner mot ervervet legitimasjon. Den hyppigere observerte innebærer å sjekke grensen for e-postsending for den kompromitterte kontoen for å finne ut om den er egnet for spamming.

Angriperne har også demonstrert opprettelsen av falske sider på kompromitterte nettsteder, og har etablert en bakdør for tilgang til databaser som inneholder sensitiv informasjon. Denne tilgangen brukes til å distribuere ytterligere truende verktøy som er avgjørende for deres operasjoner. I tilfeller der AWS-legitimasjon er vellykket identifisert og kompromittert på sårbare nettsteder, har angriperne forsøkt å lage nye brukere og brukerpolicyer.

Dessuten utnytter Andoxgh0st-operatører stjålet legitimasjon for å starte nye AWS-forekomster, slik at de kan skanne etter ytterligere sårbare mål over Internett som en del av deres pågående operasjoner.

Hvordan forhindre potensielle Andoxgh0st Malware-angrep?

For å redusere virkningen av Androxgh0st malware-angrep og minimere risikoen for kompromittering, anbefales nettverksforsvarere å implementere følgende tiltak:

• Hold systemene oppdatert : Sørg for at alle operativsystemer, programvare og fastvare oppdateres regelmessig. Bekreft at Apache-servere ikke kjører versjon 2.4.49 eller 2.4.50.
• URI-konfigurasjon : Bekreft at standardkonfigurasjonen for alle Uniform Resource Identifiers (URI-er) er satt til å avvise alle forespørsler med mindre det er et spesifikt og berettiget behov for tilgjengelighet.
• Laravel-applikasjonsinnstillinger : Sørg for at eventuelle aktive Laravel-applikasjoner ikke er i "feilsøkings"- eller testmodus. Fjern skylegitimasjon fra .env-filer og tilbakekall dem. Utfør en engangsgjennomgang av tidligere lagret nettsky-legitimasjon og foreta løpende vurderinger for andre legitimasjonstyper som ikke kan fjernes.
• Filsystemskanninger : Skann serverens filsystem for ukjente PHP-filer, med spesiell oppmerksomhet til rotkatalogen og /vendor/phpunit/phpunit/src/Util/PHP-mappen.
• Utgående GET-forespørsler : Gjennomgå utgående GET-forespørsler, spesielt de som bruker cURL-kommandoer, til filvertssider som GitHub eller Pastebin. Vær spesielt oppmerksom når forespørselen åpner en .php-fil.

CISA har oppdatert sin Known Exploited Vulnerabilities Catalogue basert på bevis på aktiv utnyttelse. CVE-2018-15133 Laravel-deserialiseringen av uklarerte datasårbarhet ble lagt til, mens CVE-2021-41773 Apache HTTP Server-banegjennomgang og CVE-2017-9841 PHPUnit kommandoinjeksjonssårbarheter ble inkludert i henholdsvis november 2021 og februar 2022. Disse tilleggene tar sikte på å øke bevisstheten og be om proaktive tiltak mot kjente sårbarheter knyttet til Androxgh0st.