Botnet AndroxGh0st

CISA a FBI spoločne vydali varovanie týkajúce sa aktivít aktérov hrozieb využívajúcich malvér Androxgh0st, ktorí aktívne vytvárajú botnet so špecifickým zameraním na krádeže cloudových poverení. Títo zlomyseľní aktéri využívajú zhromaždené informácie na nasadenie ďalších škodlivých nákladov. Tento botnet, ktorý pôvodne objavili výskumníci v oblasti kybernetickej bezpečnosti v roku 2022, už v tom čase získal kontrolu nad viac ako 40 000 zariadeniami.

Modus operandi tohto botnetu zahŕňa skenovanie zraniteľností na webových stránkach a serveroch náchylných na vzdialené spustenie kódu (RCE). Predovšetkým sa aktéri hrozieb zameriavajú na konkrétne zraniteľnosti, konkrétne CVE-2017-9841 (spojené s rámcom testovania jednotiek PHPUnit), CVE-2021-41773 (prepojené s HTTP serverom Apache) a CVE-2018-15133 (súvisiace s Laravelom). webový rámec PHP). Využitím týchto zraniteľností uľahčuje malvér Androxgh0st neoprávnený prístup a umožňuje krádež poverení v cloude, čo predstavuje značné riziko kybernetickej bezpečnosti.

Malvér AndroxGh0st sa zameriava na citlivé údaje o narušených zariadeniach

Androxgh0st, malvér napísaný v jazyku Python, je primárne určený na zacielenie na súbory .env, ktoré uchovávajú dôverné informácie vrátane poverení pre vysokoprofilové aplikácie, ako sú Amazon Web Services (AWS), Microsoft Office 365, SendGrid a Twilio v rámci webovej aplikácie Laravel. .

Tento malvér sa môže pochváliť rôznymi funkciami, ktoré umožňujú zneužitie protokolu SMTP (Simple Mail Transfer Protocol). Dokáže skenovať a využívať vystavené poverenia a aplikačné programové rozhrania (API), ako aj nasadzovať webové shelly. Kompromisia poverení Twilio a SendGrid umožňuje aktérom hrozieb organizovať spamové kampane a vydávať sa za napadnuté spoločnosti.

V závislosti od svojej aplikácie AndroxGh0st vykazuje dve primárne funkcie proti získaným povereniam. Ten častejšie pozorovaný zahŕňa kontrolu limitu odosielania e-mailov napadnutého účtu, aby ste určili jeho vhodnosť na účely spamovania.

Útočníci tiež preukázali vytváranie falošných stránok na napadnutých webových stránkach, čím vytvorili zadné vrátka pre prístup k databázam obsahujúcim citlivé informácie. Tento prístup sa využíva na nasadenie ďalších ohrozujúcich nástrojov, ktoré sú kľúčové pre ich prevádzku. V prípadoch, keď sú poverenia AWS úspešne identifikované a ohrozené na zraniteľných webových stránkach, sa útočníci pokúsili vytvoriť nových používateľov a používateľské zásady.

Operátori Andoxgh0st navyše využívajú ukradnuté prihlasovacie údaje na spustenie nových inštancií AWS, čo im umožňuje vyhľadávať ďalšie zraniteľné ciele na internete ako súčasť ich prebiehajúcich operácií.

Ako zabrániť potenciálnym útokom malvéru Andoxgh0st?

Na zmiernenie dopadu malvérových útokov Androxgh0st a minimalizovanie rizika kompromitácie sa ochrancom siete odporúča implementovať nasledujúce opatrenia:

• Udržujte systémy aktualizované : Uistite sa, že všetky operačné systémy, softvér a firmvér sú pravidelne aktualizované. Konkrétne skontrolujte, či servery Apache nepoužívajú verzie 2.4.49 alebo 2.4.50.
• Konfigurácia URI : Potvrďte, že predvolená konfigurácia pre všetky identifikátory URI (Uniform Resource Identifier) je nastavená na odmietnutie všetkých požiadaviek, pokiaľ neexistuje špecifická a odôvodnená potreba dostupnosti.
• Nastavenia aplikácie Laravel : Uistite sa, že žiadne živé aplikácie Laravel nie sú v režime ladenia alebo testovania. Odstráňte poverenia cloudu zo súborov .env a odvolajte ich. Vykonajte jednorazovú kontrolu predtým uložených cloudových poverení a priebežne kontrolujte ďalšie typy poverení, ktoré nemožno odstrániť.
• Kontroly súborového systému : Kontrolujte súborový systém servera na prítomnosť nerozpoznaných súborov PHP, pričom osobitnú pozornosť venujte koreňovému adresáru a priečinku /vendor/phpunit/phpunit/src/Util/PHP.
• Odchádzajúce žiadosti GET : Skontrolujte odchádzajúce žiadosti GET, najmä tie, ktoré používajú príkazy cURL, na stránky hosťujúce súbory, ako sú GitHub alebo Pastebin. Venujte zvláštnu pozornosť, keď požiadavka pristupuje k súboru .php.

CISA aktualizovala svoj katalóg známych zneužitých zraniteľností na základe dôkazov o aktívnom využívaní. Bola pridaná deserializácia CVE-2018-15133 Laravel o zraniteľnosti nedôveryhodných údajov, zatiaľ čo chyby zabezpečenia prechodu cesty CVE-2021-41773 Apache HTTP Server a CVE-2017-9841 PHPUnit boli zahrnuté v novembri 20022 a vo februári 2. Cieľom týchto doplnkov je zvýšiť povedomie a podnietiť proaktívne opatrenia proti známym zraniteľnostiam spojeným s Androxgh0st.