AndroxGh0st Botnet

CISA र FBI ले संयुक्त रूपमा Androxgh0st मालवेयर प्रयोग गर्ने खतरा अभिनेताहरूको गतिविधिहरू बारे चेतावनी जारी गरेको छ, जसले सक्रिय रूपमा क्लाउड प्रमाणहरूको चोरीमा विशेष फोकसको साथ बोटनेट निर्माण गरिरहेका छन्। यी दुष्ट अभिनेताहरूले थप हानिकारक पेलोडहरू प्रयोग गर्न सङ्कलन जानकारीको लाभ उठाउँछन्। 2022 मा साइबरसुरक्षा अनुसन्धानकर्ताहरूले प्रारम्भिक रूपमा पत्ता लगाएका थिए, यो बोटनेटले त्यस समयमा 40,000 भन्दा बढी उपकरणहरूमा नियन्त्रण प्राप्त गरिसकेको थियो।

यस बोटनेटको मोडस अपरेन्डीले रिमोट कोड कार्यान्वयन (RCE) लाई संवेदनशील वेबसाइटहरू र सर्भरहरूमा कमजोरीहरूको लागि स्क्यानिङ समावेश गर्दछ। विशेष रूपमा, खतरा अभिनेताहरूले विशेष कमजोरीहरूलाई लक्षित गर्दछ, अर्थात् CVE-2017-9841 (PHPUnit इकाई परीक्षण फ्रेमवर्कसँग सम्बन्धित), CVE-2021-41773 (Apache HTTP सर्भरसँग जोडिएको), र CVE-2018-15133 (Laravel सँग सम्बन्धित। PHP वेब फ्रेमवर्क)। यी कमजोरीहरूको शोषण गरेर, Androxgh0st मालवेयरले अनाधिकृत पहुँचलाई सहज बनाउँछ र क्लाउड प्रमाणहरूको चोरीलाई सक्षम बनाउँछ, यसले महत्त्वपूर्ण साइबर सुरक्षा जोखिम खडा गर्छ।

AndroxGh0st मालवेयरले उल्लंघन गरिएका यन्त्रहरूमा संवेदनशील डेटालाई लक्षित गर्दछ

Androxgh0st, एक पाइथन-स्क्रिप्टेड मालवेयर, मुख्यतया Laravel वेब अनुप्रयोग फ्रेमवर्क भित्र Amazon Web Services (AWS), Microsoft Office 365, SendGrid र Twilio जस्ता उच्च-प्रोफाइल अनुप्रयोगहरूका लागि प्रमाणहरू सहित गोप्य जानकारी भण्डारण गर्ने .env फाइलहरूलाई लक्षित गर्न डिजाइन गरिएको हो। ।

यो मालवेयरले सिम्पल मेल ट्रान्सफर प्रोटोकल (SMTP) को दुरुपयोगलाई सक्षम पार्दै विभिन्न प्रकार्यताहरू समेट्छ। यसले स्क्यान गर्न र एक्सपोज गरिएका प्रमाणहरू र एप्लिकेसन प्रोग्रामिङ इन्टरफेसहरू (एपीआई) को शोषण गर्न सक्छ, साथै वेब शेलहरू प्रयोग गर्न सक्छ। Twilio र SendGrid credentials को सम्झौताले खतरा कलाकारहरूलाई स्प्याम अभियानहरू अर्केस्ट्रेट गर्न अनुमति दिन्छ, उल्लङ्घन गरिएका कम्पनीहरूको नक्कल गर्दै।

यसको आवेदनमा निर्भर गर्दै, AndroxGh0st ले प्राप्त प्रमाणहरू विरुद्ध दुई प्राथमिक कार्यहरू प्रदर्शन गर्दछ। अधिक बारम्बार अवलोकन गरिएकोमा स्प्यामिङ उद्देश्यहरूको लागि उपयुक्तता निर्धारण गर्न सम्झौता गरिएको खाताको इमेल पठाउने सीमा जाँच गर्ने समावेश छ।

आक्रमणकारीहरूले संवेदनशील जानकारी भएका डाटाबेसहरू पहुँच गर्न पछाडिको ढोका स्थापना गर्दै, सम्झौता गरिएका वेबसाइटहरूमा नक्कली पृष्ठहरू सिर्जना गरेको पनि प्रदर्शन गरेका छन्। यो पहुँच तिनीहरूको अपरेशनहरूको लागि महत्त्वपूर्ण थप धम्की दिने उपकरणहरू प्रयोग गर्न प्रयोग गरिन्छ। AWS प्रमाणहरू सफलतापूर्वक पहिचान गरिएका र कमजोर वेबसाइटहरूमा सम्झौता गरिएका उदाहरणहरूमा, आक्रमणकारीहरूले नयाँ प्रयोगकर्ताहरू र प्रयोगकर्ता नीतिहरू सिर्जना गर्ने प्रयास गरेका छन्।

यसबाहेक, Andoxgh0st अपरेटरहरूले नयाँ AWS उदाहरणहरू प्रारम्भ गर्नका लागि चोरी भएको प्रमाणहरूको लाभ उठाउँछन्, उनीहरूलाई उनीहरूको चलिरहेको सञ्चालनको भागको रूपमा इन्टरनेटमा थप कमजोर लक्ष्यहरू स्क्यान गर्न अनुमति दिन्छ।

सम्भावित Andoxgh0st मालवेयर आक्रमणहरू कसरी रोक्न?

Androxgh0st मालवेयर आक्रमणको प्रभावलाई कम गर्न र सम्झौताको जोखिम कम गर्न, नेटवर्क रक्षकहरूलाई निम्न उपायहरू लागू गर्न सल्लाह दिइन्छ:

• प्रणालीहरू अद्यावधिक राख्नुहोस् : सुनिश्चित गर्नुहोस् कि सबै अपरेटिङ सिस्टम, सफ्टवेयर, र फर्मवेयर नियमित रूपमा अद्यावधिक छन्। विशेष रूपमा, Apache सर्भरहरू 2.4.49 वा 2.4.50 संस्करणहरू चलिरहेको छैन भनी प्रमाणित गर्नुहोस्।
• URI कन्फिगरेसन : पहुँचको लागि एक विशिष्ट र उचित आवश्यकता नभएसम्म सबै समान स्रोत पहिचानकर्ताहरू (URIs) को लागि पूर्वनिर्धारित कन्फिगरेसन सबै अनुरोधहरू अस्वीकार गर्न सेट गरिएको छ भनेर पुष्टि गर्नुहोस्।
• Laravel एप्लिकेसन सेटिङ्हरू : कुनै पनि लाइभ Laravel एपहरू 'डिबग' वा परीक्षण मोडमा छैनन् भनी सुनिश्चित गर्नुहोस्। .env फाइलहरूबाट क्लाउड प्रमाणहरू हटाउनुहोस् र तिनीहरूलाई रद्द गर्नुहोस्। पहिले भण्डारण गरिएका क्लाउड प्रमाणहरूको एक-पटक समीक्षा गर्नुहोस् र हटाउन नसकिने अन्य प्रमाण प्रकारहरूको लागि जारी समीक्षाहरू सञ्चालन गर्नुहोस्।
• फाइल प्रणाली स्क्यान : मूल डाइरेक्टरी र / विक्रेता/phpunit/phpunit/src/Util/PHP फोल्डरमा विशेष ध्यान दिएर, अपरिचित PHP फाइलहरूको लागि सर्भरको फाइल प्रणाली स्क्यान गर्नुहोस्।
• बहिर्गमन GET अनुरोधहरू : GitHub वा Pastebin जस्ता फाइल-होस्टिङ साइटहरूमा, विशेष गरी cURL आदेशहरू प्रयोग गर्ने बहिर्गमन GET अनुरोधहरूको समीक्षा गर्नुहोस्। अनुरोधले .php फाइल पहुँच गर्दा विशेष ध्यान दिनुहोस्।

CISA ले सक्रिय शोषणको प्रमाणको आधारमा यसको ज्ञात शोषित जोखिम सूची अद्यावधिक गरेको छ। CVE-2018-15133 Laravel deserialization को अविश्वसनीय डेटा जोखिम थपियो, जबकि CVE-2021-41773 Apache HTTP सर्भर पथ ट्राभर्सल र CVE-2017-9841 PHPUnit कमाण्ड इंजेक्शन कमजोरीहरू क्रमशः नोभेम्बर 2220 र फेब्रुअरी220 मा समावेश गरिएको थियो। यी थपहरूले Androxgh0st सँग सम्बन्धित ज्ञात कमजोरीहरू विरुद्ध जागरूकता र द्रुत सक्रिय उपायहरू बढाउने लक्ष्य राख्छन्।