Multi-License Discount Quote
Bedreigingsdatabase Malware AndroxGh0st-botnet

AndroxGh0st-botnet

Tegen Mezo in Malware, Botnets
Vertalen naar:
Nederlands

CISA en de FBI hebben gezamenlijk een waarschuwing afgegeven met betrekking tot de activiteiten van bedreigingsactoren die de Androxgh0st-malware gebruiken en die actief bezig zijn met het bouwen van een botnet met een specifieke focus op de diefstal van cloudgegevens. Deze kwaadaardige actoren maken gebruik van de verzamelde informatie om extra schadelijke ladingen in te zetten. Dit botnet werd voor het eerst ontdekt door cybersecurity-onderzoekers in 2022 en had op dat moment al controle gekregen over meer dan 40.000 apparaten.

De modus operandi van dit botnet omvat het scannen op kwetsbaarheden in websites en servers die vatbaar zijn voor uitvoering van externe code (RCE). De dreigingsactoren richten zich met name op specifieke kwetsbaarheden, namelijk CVE-2017-9841 (geassocieerd met het PHPUnit unit-testframework), CVE-2021-41773 (gelinkt aan de Apache HTTP-server) en CVE-2018-15133 (gerelateerd aan de Laravel PHP-webframework). Door misbruik te maken van deze kwetsbaarheden vergemakkelijkt de Androxgh0st-malware ongeoorloofde toegang en maakt diefstal van cloudgegevens mogelijk, wat een aanzienlijk cyberveiligheidsrisico met zich meebrengt.

De AndroxGh0st-malware richt zich op gevoelige gegevens op geschonden apparaten

Androxgh0st, een Python-scripted malware, is voornamelijk ontworpen om zich te richten op .env-bestanden die vertrouwelijke informatie opslaan, inclusief inloggegevens voor spraakmakende applicaties zoals Amazon Web Services (AWS), Microsoft Office 365, SendGrid en Twilio binnen het Laravel Web-applicatieframework .

Deze malware beschikt over verschillende functionaliteiten, waardoor misbruik van het Simple Mail Transfer Protocol (SMTP) mogelijk is. Het kan blootgestelde inloggegevens en application programming interfaces (API's) scannen en exploiteren, en ook webshells inzetten. Door het compromitteren van de inloggegevens van Twilio en SendGrid kunnen bedreigingsactoren spamcampagnes orkestreren en zich voordoen als de geschonden bedrijven.

Afhankelijk van de toepassing vertoont AndroxGh0st twee primaire functies tegen verworven inloggegevens. De meest voorkomende is het controleren van de e-mailverzendlimiet van het gecompromitteerde account om te bepalen of het geschikt is voor spamdoeleinden.

De aanvallers hebben ook aangetoond dat er neppagina's op gecompromitteerde websites zijn gemaakt, waardoor een achterdeur is gecreëerd voor toegang tot databases met gevoelige informatie. Deze toegang wordt gebruikt om aanvullende bedreigende instrumenten in te zetten die cruciaal zijn voor hun operaties. In gevallen waarin AWS-inloggegevens met succes worden geïdentificeerd en gecompromitteerd op kwetsbare websites, hebben de aanvallers geprobeerd nieuwe gebruikers en gebruikersbeleid te creëren.

Bovendien maken Andoxgh0st-operators gebruik van gestolen inloggegevens om nieuwe AWS-instanties te initiëren, waardoor ze op internet kunnen scannen op extra kwetsbare doelen als onderdeel van hun lopende activiteiten.

Hoe kunt u de potentiële Andoxgh0st-malwareaanvallen voorkomen?

Om de impact van Androxgh0st-malwareaanvallen te beperken en het risico op compromittering te minimaliseren, wordt netwerkverdedigers geadviseerd de volgende maatregelen te implementeren:

  • Houd systemen bijgewerkt : Zorg ervoor dat alle besturingssystemen, software en firmware regelmatig worden bijgewerkt. Controleer met name of Apache-servers niet versie 2.4.49 of 2.4.50 gebruiken.
  • URI-configuratie : Bevestig dat de standaardconfiguratie voor alle Uniform Resource Identifiers (URI's) is ingesteld om alle verzoeken te weigeren, tenzij er een specifieke en gerechtvaardigde behoefte aan toegankelijkheid is.
  • Laravel-applicatie-instellingen : Zorg ervoor dat live Laravel-applicaties zich niet in de 'debug'- of testmodus bevinden. Verwijder cloudreferenties uit .env-bestanden en trek ze in. Voer een eenmalige beoordeling uit van eerder opgeslagen cloudinloggegevens en voer doorlopende beoordelingen uit voor andere typen inloggegevens die niet kunnen worden verwijderd.
  • Bestandssysteemscans : Scan het bestandssysteem van de server op niet-herkende PHP-bestanden, met bijzondere aandacht voor de hoofdmap en de map /vendor/phpunit/phpunit/src/Util/PHP.
  • Uitgaande GET-verzoeken : bekijk uitgaande GET-verzoeken, vooral die welke cURL-opdrachten gebruiken, naar sites voor het hosten van bestanden zoals GitHub of Pastebin. Besteed speciale aandacht wanneer het verzoek toegang krijgt tot een .php-bestand.

CISA heeft zijn Known Exploited Vulnerabilities Catalog bijgewerkt op basis van bewijs van actieve exploitatie. De CVE-2018-15133 Laravel-deserialisatie van niet-vertrouwde gegevenskwetsbaarheid is toegevoegd, terwijl de CVE-2021-41773 Apache HTTP Server-padtraversal en de CVE-2017-9841 PHPUnit-kwetsbaarheden voor opdrachtinjectie in respectievelijk november 2021 en februari 2022 zijn opgenomen. Deze toevoegingen zijn bedoeld om het bewustzijn te vergroten en proactieve maatregelen te nemen tegen bekende kwetsbaarheden die verband houden met Androxgh0st.

Trending

Meest bekeken

Bezig met laden...