AndroxGh0st Botnet

CISA in FBI sta skupaj izdala opozorilo glede dejavnosti akterjev groženj, ki uporabljajo zlonamerno programsko opremo Androxgh0st, ki aktivno gradijo botnet s posebnim poudarkom na kraji poverilnic v oblaku. Ti zlonamerni akterji izkoristijo zbrane informacije za uporabo dodatnih škodljivih tovorov. Ta botnet, ki so ga prvotno odkrili raziskovalci kibernetske varnosti leta 2022, je takrat že pridobil nadzor nad več kot 40.000 napravami.

Način delovanja tega botneta vključuje iskanje ranljivosti na spletnih mestih in strežnikih, dovzetnih za oddaljeno izvajanje kode (RCE). Predvsem akterji groženj ciljajo na specifične ranljivosti, in sicer CVE-2017-9841 (povezano z ogrodjem za testiranje enot PHPUnit), CVE-2021-41773 (povezano s strežnikom HTTP Apache) in CVE-2018-15133 (povezano z Laravel spletno ogrodje PHP). Z izkoriščanjem teh ranljivosti zlonamerna programska oprema Androxgh0st olajša nepooblaščen dostop in omogoča krajo poverilnic v oblaku, kar predstavlja veliko tveganje za kibernetsko varnost.

Zlonamerna programska oprema AndroxGh0st cilja na občutljive podatke na napravah, v katerih je prišlo do vdora

Androxgh0st, zlonamerna programska oprema s skriptom Python, je v prvi vrsti zasnovana tako, da cilja na datoteke .env, ki shranjujejo zaupne podatke, vključno s poverilnicami za visokoprofilne aplikacije, kot so Amazon Web Services (AWS), Microsoft Office 365, SendGrid in Twilio znotraj ogrodja spletnih aplikacij Laravel .

Ta zlonamerna programska oprema se ponaša z različnimi funkcijami, ki omogočajo zlorabo protokola Simple Mail Transfer Protocol (SMTP). Lahko skenira in izkorišča izpostavljene poverilnice in vmesnike za programiranje aplikacij (API-je) ter uvede spletne lupine. Kompromis poverilnic Twilio in SendGrid omogoča akterjem groženj, da orkestrirajo kampanje z neželeno pošto, pri čemer se lažno predstavljajo kot podjetja, v katerih je prišlo do kršitve.

AndroxGh0st ima glede na svojo aplikacijo dve primarni funkciji glede na pridobljene poverilnice. Pogosteje opazovani vključuje preverjanje omejitve pošiljanja e-pošte ogroženega računa, da se ugotovi njegova primernost za pošiljanje neželene pošte.

Napadalci so tudi dokazali ustvarjanje lažnih strani na ogroženih spletnih mestih in vzpostavili stranska vrata za dostop do baz podatkov, ki vsebujejo občutljive informacije. Ta dostop se uporablja za namestitev dodatnih grozilnih orodij, ključnih za njihovo delovanje. V primerih, ko so poverilnice AWS uspešno prepoznane in ogrožene na ranljivih spletnih mestih, so napadalci poskušali ustvariti nove uporabnike in uporabniške pravilnike.

Poleg tega operaterji Andoxgh0st izkoristijo ukradene poverilnice za sprožitev novih instanc AWS, kar jim omogoča iskanje dodatnih ranljivih ciljev po internetu kot del njihovih tekočih operacij.

Kako preprečiti morebitne napade zlonamerne programske opreme Andoxgh0st?

Za ublažitev vpliva napadov zlonamerne programske opreme Androxgh0st in zmanjšanje tveganja ogrožanja se zaščitnikom omrežja svetuje, da izvedejo naslednje ukrepe:

• Naj bodo sistemi posodobljeni : Zagotovite, da se vsi operacijski sistemi, programska oprema in vdelana programska oprema redno posodabljajo. Natančneje, preverite, ali strežniki Apache ne izvajajo različic 2.4.49 ali 2.4.50.
• Konfiguracija URI : potrdite, da je privzeta konfiguracija za vse enotne identifikatorje virov (URI) nastavljena tako, da zavrne vse zahteve, razen če obstaja posebna in upravičena potreba po dostopnosti.
• Nastavitve aplikacije Laravel : Zagotovite, da nobena aplikacija Laravel v živo ni v načinu za odpravljanje napak ali v načinu testiranja. Odstranite poverilnice v oblaku iz datotek .env in jih prekličite. Izvedite enkratni pregled predhodno shranjenih poverilnic v oblaku in izvajajte stalne preglede za druge vrste poverilnic, ki jih ni mogoče odstraniti.
• Pregledi datotečnega sistema : Preglejte datotečni sistem strežnika za neprepoznane datoteke PHP, s posebno pozornostjo na korenski imenik in mapo /vendor/phpunit/phpunit/src/Util/PHP.
• Odhodne zahteve GET : preglejte odhodne zahteve GET, zlasti tiste, ki uporabljajo ukaze cURL, do spletnih mest za gostovanje datotek, kot sta GitHub ali Pastebin. Bodite posebno pozorni, ko zahteva dostopa do datoteke .php.

CISA je posodobila svoj katalog znanih izkoriščanih ranljivosti na podlagi dokazov o aktivnem izkoriščanju. Dodana je bila ranljivost deserializacije nezaupljivih podatkov CVE-2018-15133 Laravel, medtem ko sta bili novembra 2021 in februarja 2022 vključeni ranljivosti CVE-2021-41773 Apache HTTP Server traversal in CVE-2017-9841 PHPUnit injiciranje ukazov. Namen teh dodatkov je povečati ozaveščenost in spodbuditi proaktivne ukrepe proti znanim ranljivostim, povezanim z Androxgh0st.