AndroxGh0st Botnet

CISA și FBI au emis împreună un avertisment cu privire la activitățile actorilor de amenințări care utilizează malware Androxgh0st, care construiesc în mod activ o rețea botnet cu un accent special pe furtul acreditărilor cloud. Acești actori răuvoitori folosesc informațiile colectate pentru a implementa încărcături utile suplimentare dăunătoare. Detectată inițial de cercetătorii în domeniul securității cibernetice în 2022, această rețea botnet câștigase deja controlul asupra a peste 40.000 de dispozitive la acel moment.

Modul de operare al acestei rețele bot implică scanarea pentru vulnerabilități în site-uri web și servere susceptibile de executare de cod la distanță (RCE). În special, actorii amenințărilor vizează vulnerabilități specifice, și anume CVE-2017-9841 (asociat cu cadrul de testare unitară PHPUnit), CVE-2021-41773 (legat la serverul Apache HTTP) și CVE-2018-15133 (legat de Laravel). cadru web PHP). Prin exploatarea acestor vulnerabilități, malware-ul Androxgh0st facilitează accesul neautorizat și permite furtul acreditărilor cloud, prezentând un risc semnificativ pentru securitatea cibernetică.

Programul malware AndroxGh0st vizează datele sensibile de pe dispozitivele încălcate

Androxgh0st, un program malware cu script Python, este conceput în primul rând pentru a viza fișiere .env care stochează informații confidențiale, inclusiv acreditări pentru aplicații de profil înalt precum Amazon Web Services (AWS), Microsoft Office 365, SendGrid și Twilio în cadrul aplicației web Laravel .

Acest malware se mândrește cu diverse funcționalități, permițând abuzul Protocolului simplu de transfer de e-mail (SMTP). Poate scana și exploata acreditările expuse și interfețele de programare a aplicațiilor (API), precum și implementa shell-uri web. Compromisul acreditărilor Twilio și SendGrid le permite actorilor de amenințări să orchestreze campanii de spam, uzurpând identitatea companiilor încălcate.

În funcție de aplicația sa, AndroxGh0st prezintă două funcții principale față de acreditările dobândite. Cel mai frecvent observat implică verificarea limitei de trimitere de e-mail a contului compromis pentru a determina adecvarea acestuia în scopuri de spam.

Atacatorii au demonstrat, de asemenea, crearea de pagini false pe site-uri web compromise, stabilind o ușă în spate pentru accesarea bazelor de date care conțin informații sensibile. Acest acces este utilizat pentru a implementa instrumente suplimentare de amenințare cruciale pentru operațiunile lor. În cazurile în care acreditările AWS sunt identificate cu succes și compromise pe site-uri web vulnerabile, atacatorii au încercat să creeze noi utilizatori și politici pentru utilizatori.

În plus, operatorii Andoxgh0st folosesc acreditările furate pentru a iniția noi instanțe AWS, permițându-le să scaneze ținte vulnerabile suplimentare pe Internet, ca parte a operațiunilor lor în desfășurare.

Cum să preveniți potențialele atacuri malware Andoxgh0st?

Pentru a atenua impactul atacurilor malware Androxgh0st și pentru a minimiza riscul de compromis, apărătorii rețelei sunt sfătuiți să implementeze următoarele măsuri:

• Păstrați sistemele actualizate : asigurați-vă că toate sistemele de operare, software-ul și firmware-ul sunt actualizate în mod regulat. Mai exact, verificați dacă serverele Apache nu rulează versiunile 2.4.49 sau 2.4.50.
• Configurație URI : confirmați că configurația implicită pentru toți identificatorii uniformi de resurse (URI) este setată să refuze toate solicitările, cu excepția cazului în care există o nevoie specifică și justificată de accesibilitate.
• Setările aplicației Laravel : Asigurați-vă că aplicațiile Laravel live nu sunt în modul „depanare” sau testare. Eliminați acreditările cloud din fișierele .env și revocați-le. Efectuați o analiză unică a acreditărilor cloud stocate anterior și efectuați examinări continue pentru alte tipuri de acreditări care nu pot fi eliminate.
• Scanări ale sistemului de fișiere : Scanați sistemul de fișiere al serverului pentru fișiere PHP nerecunoscute, acordând o atenție deosebită directorului rădăcină și folderului /vendor/phpunit/phpunit/src/Util/PHP.
• Solicitări GET de ieșire : revizuiți solicitările GET de ieșire, în special cele care folosesc comenzi cURL, către site-uri de găzduire de fișiere precum GitHub sau Pastebin. Acordați o atenție deosebită atunci când solicitarea accesează un fișier .php.

CISA și-a actualizat Catalogul de vulnerabilități cunoscute exploatate pe baza dovezilor exploatării active. A fost adăugată deserializarea CVE-2018-15133 Laravel a vulnerabilității datelor neîncrezătoare, în timp ce traversarea căii CVE-2021-41773 Apache HTTP Server și vulnerabilitățile de injectare a comenzilor CVE-2017-9841 PHPUnit au fost incluse în noiembrie 2021 și, respectiv, februarie 2022. Aceste adăugări au scopul de a spori gradul de conștientizare și de a solicita măsuri proactive împotriva vulnerabilităților cunoscute asociate cu Androxgh0st.