AndroxGh0st Botnet

A CISA e o FBI emitiram em conjunto um alerta sobre as atividades dos agentes de ameaças que utilizam o malware Androxgh0st, que estão construindo ativamente uma botnet com foco específico no roubo de credenciais de nuvem. Esses atores malévolos aproveitam as informações coletadas para implantar cargas prejudiciais adicionais. Detectado inicialmente por pesquisadores de segurança cibernética em 2022, esse botnet já havia ganhado controle sobre mais de 40.000 dispositivos naquela época.

O modus operandi deste botnet envolve a verificação de vulnerabilidades em sites e servidores suscetíveis à execução remota de código (RCE). Notavelmente, os atores da ameaça têm como alvo vulnerabilidades específicas, nomeadamente CVE-2017-9841 (associada à estrutura de testes de unidade PHPUnit), CVE-2021-41773 (ligada ao servidor HTTP Apache) e CVE-2018-15133 (relacionada ao Laravel estrutura web PHP). Ao explorar estas vulnerabilidades, o malware Androxgh0st facilita o acesso não autorizado e permite o roubo de credenciais na nuvem, representando um risco significativo de segurança cibernética.

O Malware AndroxGh0st Tem como Alvo os Dados Confidenciais nos Dispositivos Violados

Androxgh0st, um malware com script Python, foi projetado principalmente para atingir arquivos .env que armazenam informações confidenciais, incluindo credenciais para aplicativos de alto perfil, como Amazon Web Services (AWS), Microsoft Office 365, SendGrid e Twilio dentro da estrutura de aplicativos Web Laravel. .

Este malware possui diversas funcionalidades, permitindo o abuso do Simple Mail Transfer Protocol (SMTP). Ele pode verificar e explorar credenciais expostas e interfaces de programação de aplicativos (APIs), bem como implantar shells da Web. O comprometimento das credenciais do Twilio e do SendGrid permite que os agentes de ameaças orquestrem campanhas de spam, fazendo-se passar pelas empresas violadas.

Dependendo de sua aplicação, o AndroxGh0st exibe duas funções principais em relação às credenciais adquiridas. O mais frequentemente observado envolve a verificação do limite de envio de e-mail da conta comprometida para determinar sua adequação para fins de spam.

Os invasores também demonstraram a criação de páginas falsas em sites comprometidos, estabelecendo um backdoor para acesso a bancos de dados contendo informações confidenciais. Esse acesso é utilizado para implantar ferramentas ameaçadoras adicionais, cruciais para suas operações. Nos casos em que as credenciais da AWS são identificadas e comprometidas com sucesso em sites vulneráveis, os invasores tentam criar novos usuários e políticas de usuário.

Além disso, os operadores Andoxgh0st aproveitam credenciais roubadas para iniciar novas instâncias AWS, permitindo-lhes procurar alvos vulneráveis adicionais na Internet como parte de suas operações contínuas.

Como Prevenir os Possíveis Ataques do Malware Andoxgh0st?

Para mitigar o impacto dos ataques de malware Androxgh0st e minimizar o risco de comprometimento, os defensores da rede são aconselhados a implementar as seguintes medidas:

• Mantenha os sistemas atualizados : Certifique-se de que todos os sistemas operacionais, software e firmware sejam atualizados regularmente. Especificamente, verifique se os servidores Apache não estão executando as versões 2.4.49 ou 2.4.50.
• Configuração de URI : Confirme se a configuração padrão para todos os URIs (Uniform Resource Identifiers) está definida para negar todas as solicitações, a menos que haja uma necessidade específica e justificada de acessibilidade.
• Configurações do aplicativo Laravel : Certifique-se de que todos os aplicativos Laravel ativos não estejam em modo de 'depuração' ou teste. Remova as credenciais da nuvem dos arquivos .env e revogue-as. Execute uma revisão única das credenciais de nuvem armazenadas anteriormente e conduza revisões contínuas para outros tipos de credenciais que não podem ser removidos.
• Verificações do sistema de arquivos : Verifica o sistema de arquivos do servidor em busca de arquivos PHP não reconhecidos, com atenção especial ao diretório raiz e à pasta /vendor/phpunit/phpunit/src/Util/PHP.
• Solicitações GET de saída : Revise as solicitações GET de saída, especialmente aquelas que usam comandos cURL, para sites de hospedagem de arquivos como GitHub ou Pastebin. Preste atenção especial quando a solicitação acessar um arquivo .php.

A CISA atualizou seu Catálogo de Vulnerabilidades Exploradas Conhecidas com base em evidências de exploração ativa. A vulnerabilidade de desserialização de dados não confiáveis do Laravel CVE-2018-15133 foi adicionada, enquanto a passagem de caminho do servidor HTTP Apache CVE-2021-41773 e as vulnerabilidades de injeção de comando PHPUnit CVE-2017-9841 foram incluídas em novembro de 2021 e fevereiro de 2022, respectivamente. Essas adições visam aumentar a conscientização e solicitar medidas proativas contra vulnerabilidades conhecidas associadas ao Androxgh0st.