Ботнет AndroxGh0st

CISA и ФБР совместно выпустили предупреждение относительно деятельности злоумышленников, использующих вредоносное ПО Androxgh0st, которые активно создают ботнет, специализирующийся на краже облачных учетных данных. Эти злоумышленники используют собранную информацию для развертывания дополнительных вредоносных программ. Первоначально обнаруженный исследователями кибербезопасности в 2022 году, этот ботнет на тот момент уже получил контроль над более чем 40 000 устройств.

Метод работы этого ботнета включает сканирование на наличие уязвимостей на веб-сайтах и серверах, подверженных удаленному выполнению кода (RCE). Примечательно, что злоумышленники нацелены на конкретные уязвимости, а именно CVE-2017-9841 (связанный со средой модульного тестирования PHPUnit), CVE-2021-41773 (связанный с HTTP-сервером Apache) и CVE-2018-15133 (связанный с Laravel). веб-фреймворк PHP). Используя эти уязвимости, вредоносное ПО Androxgh0st облегчает несанкционированный доступ и кражу облачных учетных данных, что представляет собой значительный риск кибербезопасности.

Вредоносное ПО AndroxGh0st нацелено на конфиденциальные данные на взломанных устройствах

Androxgh0st, вредоносная программа, написанная на языке Python, в первую очередь предназначена для атак на файлы .env, в которых хранится конфиденциальная информация, включая учетные данные для таких популярных приложений, как Amazon Web Services (AWS), Microsoft Office 365, SendGrid и Twilio в рамках платформы веб-приложений Laravel. .

Это вредоносное ПО обладает различными функциями, позволяющими злоупотреблять протоколом SMTP. Он может сканировать и использовать открытые учетные данные и интерфейсы прикладного программирования (API), а также развертывать веб-оболочки. Компрометация учетных данных Twilio и SendGrid позволяет злоумышленникам организовывать спам-кампании, выдавая себя за взломанные компании.

В зависимости от применения AndroxGh0st выполняет две основные функции в отношении полученных учетных данных. Наиболее часто наблюдаемый вариант включает проверку лимита отправки электронной почты скомпрометированной учетной записи, чтобы определить ее пригодность для рассылки спама.

Злоумышленники также продемонстрировали создание фейковых страниц на взломанных веб-сайтах, устанавливая бэкдор для доступа к базам данных, содержащим конфиденциальную информацию. Этот доступ используется для развертывания дополнительных инструментов угроз, имеющих решающее значение для их операций. В тех случаях, когда учетные данные AWS успешно идентифицируются и скомпрометируются на уязвимых веб-сайтах, злоумышленники пытаются создать новых пользователей и пользовательские политики.

Более того, операторы Andoxgh0st используют украденные учетные данные для запуска новых экземпляров AWS, что позволяет им сканировать дополнительные уязвимые цели в Интернете в рамках своих текущих операций.

Как предотвратить потенциальные атаки вредоносного ПО Andoxgh0st?

Чтобы смягчить воздействие атак вредоносного ПО Androxgh0st и минимизировать риск компрометации, сетевым защитникам рекомендуется принять следующие меры:

• Постоянно обновляйте системы : убедитесь, что все операционные системы, программное обеспечение и встроенное ПО регулярно обновляются. В частности, убедитесь, что на серверах Apache не установлены версии 2.4.49 или 2.4.50.
• Конфигурация URI . Убедитесь, что конфигурация по умолчанию для всех унифицированных идентификаторов ресурсов (URI) настроена на отклонение всех запросов, если только нет конкретной и обоснованной необходимости в доступности.
• Настройки приложения Laravel : убедитесь, что все работающие приложения Laravel не находятся в режиме отладки или тестирования. Удалите облачные учетные данные из файлов .env и отзовите их. Выполните однократную проверку ранее сохраненных учетных данных в облаке и проводите постоянные проверки для других типов учетных данных, которые невозможно удалить.
• Сканирование файловой системы . Сканирование файловой системы сервера на наличие нераспознанных файлов PHP, уделяя особое внимание корневому каталогу и папке /vendor/phpunit/phpunit/src/Util/PHP.
• Исходящие запросы GET . Просмотрите исходящие запросы GET, особенно те, которые используют команды cURL, к сайтам хостинга файлов, таким как GitHub или Pastebin. Обратите особое внимание, когда запрос обращается к файлу .php.

CISA обновила свой Каталог известных эксплуатируемых уязвимостей на основе свидетельств активной эксплуатации. Была добавлена уязвимость десериализации ненадежных данных CVE-2018-15133 Laravel, а в ноябре 2021 г. и феврале 2022 г. соответственно были включены уязвимости обхода пути HTTP-сервера Apache CVE-2021-41773 и уязвимости внедрения команд PHPUnit CVE-2017-9841. Эти дополнения направлены на повышение осведомленности и принятие превентивных мер против известных уязвимостей, связанных с Androxgh0st.