AndroxGh0st Botnet

CISA ਅਤੇ FBI ਨੇ ਸਾਂਝੇ ਤੌਰ 'ਤੇ Androxgh0st ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਸਬੰਧ ਵਿੱਚ ਇੱਕ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ ਹੈ, ਜੋ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ 'ਤੇ ਇੱਕ ਖਾਸ ਫੋਕਸ ਦੇ ਨਾਲ ਸਰਗਰਮੀ ਨਾਲ ਇੱਕ ਬੋਟਨੈੱਟ ਦਾ ਨਿਰਮਾਣ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਦੁਰਾਚਾਰੀ ਐਕਟਰ ਵਾਧੂ ਹਾਨੀਕਾਰਕ ਪੇਲੋਡਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਇਕੱਤਰ ਕੀਤੀ ਜਾਣਕਾਰੀ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ। ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ 2022 ਵਿੱਚ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜਿਆ ਗਿਆ, ਇਸ ਬੋਟਨੈੱਟ ਨੇ ਪਹਿਲਾਂ ਹੀ ਉਸ ਸਮੇਂ 40,000 ਤੋਂ ਵੱਧ ਡਿਵਾਈਸਾਂ 'ਤੇ ਕੰਟਰੋਲ ਹਾਸਲ ਕਰ ਲਿਆ ਸੀ।

ਇਸ ਬੋਟਨੈੱਟ ਦੀ ਵਿਧੀ ਵਿੱਚ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਵੈੱਬਸਾਈਟਾਂ ਅਤੇ ਸਰਵਰਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਸਕੈਨਿੰਗ ਸ਼ਾਮਲ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਖਾਸ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ CVE-2017-9841 (PHPUnit ਯੂਨਿਟ ਟੈਸਟਿੰਗ ਫਰੇਮਵਰਕ ਨਾਲ ਸੰਬੰਧਿਤ), CVE-2021-41773 (ਅਪਾਚੇ HTTP ਸਰਵਰ ਨਾਲ ਜੁੜਿਆ), ਅਤੇ CVE-2018-15133 (ਲਾਰਾਵੇਲ ਨਾਲ ਸਬੰਧਤ। PHP ਵੈੱਬ ਫਰੇਮਵਰਕ)। ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, Androxgh0st ਮਾਲਵੇਅਰ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ ਅਤੇ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ।

AndroxGh0st ਮਾਲਵੇਅਰ ਉਲੰਘਣਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ

Androxgh0st, ਇੱਕ ਪਾਈਥਨ-ਸਕ੍ਰਿਪਟਡ ਮਾਲਵੇਅਰ, ਮੁੱਖ ਤੌਰ 'ਤੇ .env ਫਾਈਲਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਸਟੋਰ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਲਾਰਵੇਲ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਫਰੇਮਵਰਕ ਦੇ ਅੰਦਰ ਐਮਾਜ਼ਾਨ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ (AWS), Microsoft Office 365, SendGrid ਅਤੇ Twilio ਵਰਗੀਆਂ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸ਼ਾਮਲ ਹਨ। .

ਇਹ ਮਾਲਵੇਅਰ ਸਧਾਰਨ ਮੇਲ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰੋਟੋਕੋਲ (SMTP) ਦੀ ਦੁਰਵਰਤੋਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਵੱਖ-ਵੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ। ਇਹ ਐਕਸਪੋਜ਼ਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰੋਗਰਾਮਿੰਗ ਇੰਟਰਫੇਸ (APIs) ਨੂੰ ਸਕੈਨ ਅਤੇ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦਾ ਹੈ, ਨਾਲ ਹੀ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰ ਸਕਦਾ ਹੈ। Twilio ਅਤੇ SendGrid ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਸਮਝੌਤਾ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਲੰਘਣਾ ਕਰਨ ਵਾਲੀਆਂ ਕੰਪਨੀਆਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ, ਸਪੈਮ ਮੁਹਿੰਮਾਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।

ਇਸਦੀ ਐਪਲੀਕੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦਿਆਂ, AndroxGh0st ਐਕੁਆਇਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਵਿਰੁੱਧ ਦੋ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਸਪੈਮਿੰਗ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ ਇਸਦੀ ਅਨੁਕੂਲਤਾ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਖਾਤੇ ਦੀ ਈਮੇਲ ਭੇਜਣ ਦੀ ਸੀਮਾ ਦੀ ਜਾਂਚ ਕਰਨਾ ਵਧੇਰੇ ਅਕਸਰ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ।

ਹਮਲਾਵਰਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਜਾਅਲੀ ਪੰਨਿਆਂ ਦੀ ਸਿਰਜਣਾ ਦਾ ਵੀ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ, ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਵਾਲੇ ਡੇਟਾਬੇਸ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ ਬੈਕਡੋਰ ਸਥਾਪਤ ਕੀਤਾ ਹੈ। ਇਸ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਉਹਨਾਂ ਦੇ ਸੰਚਾਲਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਅਤਿਰਿਕਤ ਧਮਕੀ ਵਾਲੇ ਸਾਧਨਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਅਜਿਹੀਆਂ ਸਥਿਤੀਆਂ ਵਿੱਚ ਜਿੱਥੇ AWS ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਸਫਲਤਾਪੂਰਵਕ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਕਮਜ਼ੋਰ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੇ ਨਵੇਂ ਉਪਭੋਗਤਾ ਅਤੇ ਉਪਭੋਗਤਾ ਨੀਤੀਆਂ ਬਣਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, Andoxgh0st ਆਪਰੇਟਰ ਨਵੇਂ AWS ਉਦਾਹਰਨਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਲਾਭ ਲੈਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਚੱਲ ਰਹੇ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਇੰਟਰਨੈੱਟ ਉੱਤੇ ਵਾਧੂ ਕਮਜ਼ੋਰ ਟੀਚਿਆਂ ਲਈ ਸਕੈਨ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।

ਸੰਭਾਵੀ Andoxgh0st ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਨੂੰ ਕਿਵੇਂ ਰੋਕਿਆ ਜਾਵੇ?

Androxgh0st ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਸਮਝੌਤਾ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ, ਨੈਟਵਰਕ ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ:

• ਸਿਸਟਮਾਂ ਨੂੰ ਅੱਪਡੇਟ ਰੱਖੋ : ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਸਾਰੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ, ਸੌਫਟਵੇਅਰ ਅਤੇ ਫਰਮਵੇਅਰ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਪੁਸ਼ਟੀ ਕਰੋ ਕਿ ਅਪਾਚੇ ਸਰਵਰ 2.4.49 ਜਾਂ 2.4.50 ਵਰਜਨ ਨਹੀਂ ਚਲਾ ਰਹੇ ਹਨ।
• URI ਕੌਂਫਿਗਰੇਸ਼ਨ : ਪੁਸ਼ਟੀ ਕਰੋ ਕਿ ਸਾਰੇ ਯੂਨੀਫਾਰਮ ਰਿਸੋਰਸ ਆਈਡੈਂਟੀਫਾਇਰ (URIs) ਲਈ ਡਿਫੌਲਟ ਕੌਂਫਿਗਰੇਸ਼ਨ ਸਾਰੀਆਂ ਬੇਨਤੀਆਂ ਨੂੰ ਅਸਵੀਕਾਰ ਕਰਨ ਲਈ ਸੈੱਟ ਕੀਤੀ ਗਈ ਹੈ ਜਦੋਂ ਤੱਕ ਕਿ ਪਹੁੰਚਯੋਗਤਾ ਲਈ ਕੋਈ ਖਾਸ ਅਤੇ ਜਾਇਜ਼ ਲੋੜ ਨਾ ਹੋਵੇ।
• Laravel ਐਪਲੀਕੇਸ਼ਨ ਸੈਟਿੰਗਜ਼ : ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਕੋਈ ਵੀ ਲਾਈਵ Laravel ਐਪਲੀਕੇਸ਼ਨ 'ਡੀਬੱਗ' ਜਾਂ ਟੈਸਟਿੰਗ ਮੋਡ ਵਿੱਚ ਨਹੀਂ ਹਨ। .env ਫਾਈਲਾਂ ਤੋਂ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰ ਹਟਾਓ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਰੱਦ ਕਰੋ। ਪਹਿਲਾਂ ਸਟੋਰ ਕੀਤੇ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਇੱਕ-ਵਾਰ ਸਮੀਖਿਆ ਕਰੋ ਅਤੇ ਹੋਰ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਕਿਸਮਾਂ ਲਈ ਚੱਲ ਰਹੀਆਂ ਸਮੀਖਿਆਵਾਂ ਕਰੋ ਜਿਨ੍ਹਾਂ ਨੂੰ ਹਟਾਇਆ ਨਹੀਂ ਜਾ ਸਕਦਾ।
• ਫਾਈਲ ਸਿਸਟਮ ਸਕੈਨ : ਰੂਟ ਡਾਇਰੈਕਟਰੀ ਅਤੇ /vendor/phpunit/phpunit/src/Util/PHP ਫੋਲਡਰ 'ਤੇ ਖਾਸ ਧਿਆਨ ਦੇ ਨਾਲ, ਅਣਪਛਾਤੀ PHP ਫਾਈਲਾਂ ਲਈ ਸਰਵਰ ਦੇ ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਸਕੈਨ ਕਰੋ।
• ਆਊਟਗੋਇੰਗ GET ਬੇਨਤੀਆਂ : GitHub ਜਾਂ ਪੇਸਟਬਿਨ ਵਰਗੀਆਂ ਫਾਈਲ-ਹੋਸਟਿੰਗ ਸਾਈਟਾਂ ਲਈ ਆਊਟਗੋਇੰਗ GET ਬੇਨਤੀਆਂ, ਖਾਸ ਤੌਰ 'ਤੇ cURL ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਬੇਨਤੀਆਂ ਦੀ ਸਮੀਖਿਆ ਕਰੋ। ਜਦੋਂ ਬੇਨਤੀ ਇੱਕ .php ਫਾਈਲ ਤੱਕ ਪਹੁੰਚ ਕਰਦੀ ਹੈ ਤਾਂ ਵਿਸ਼ੇਸ਼ ਧਿਆਨ ਦਿਓ।

CISA ਨੇ ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਦੇ ਸਬੂਤ ਦੇ ਆਧਾਰ 'ਤੇ ਆਪਣੇ ਜਾਣੇ-ਪਛਾਣੇ ਸ਼ੋਸ਼ਣ ਵਾਲੇ ਕਮਜ਼ੋਰੀ ਕੈਟਾਲਾਗ ਨੂੰ ਅਪਡੇਟ ਕੀਤਾ ਹੈ। CVE-2018-15133 Laravel deserialization of untrusted data vulnerability ਨੂੰ ਜੋੜਿਆ ਗਿਆ ਸੀ, ਜਦਕਿ CVE-2021-41773 ਅਪਾਚੇ HTTP ਸਰਵਰ ਪਾਥ ਟ੍ਰਾਵਰਸਲ ਅਤੇ CVE-2017-9841 PHPUnit ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਕ੍ਰਮਵਾਰ ਫਰਵਰੀ2202020 ਅਤੇ ਨਵੰਬਰ 2020 ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਜੋੜਾਂ ਦਾ ਉਦੇਸ਼ Androxgh0st ਨਾਲ ਜੁੜੀਆਂ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਵਿਰੁੱਧ ਜਾਗਰੂਕਤਾ ਵਧਾਉਣਾ ਅਤੇ ਤੁਰੰਤ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨਾ ਹੈ।