Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Malware AndroxGh0st Botnet

AndroxGh0st Botnet

Nga MezoMalware, Botnets
Përkthe në:
Shqip

CISA dhe FBI kanë lëshuar së bashku një paralajmërim në lidhje me aktivitetet e aktorëve të kërcënimit që përdorin malware Androxgh0st, të cilët po ndërtojnë në mënyrë aktive një botnet me një fokus të veçantë në vjedhjen e kredencialeve të cloud. Këta aktorë keqdashës përdorin informacionin e mbledhur për të vendosur ngarkesa shtesë të dëmshme. I zbuluar fillimisht nga studiuesit e sigurisë kibernetike në vitin 2022, ky botnet kishte fituar tashmë kontrollin mbi më shumë se 40,000 pajisje në atë kohë.

Mënyra e funksionimit të këtij botnet përfshin skanimin për dobësitë në faqet e internetit dhe serverët të ndjeshëm ndaj ekzekutimit të kodit në distancë (RCE). Veçanërisht, aktorët e kërcënimit synojnë dobësi specifike, përkatësisht CVE-2017-9841 (lidhur me kornizën e testimit të njësisë PHPUnit), CVE-2021-41773 (i lidhur me serverin Apache HTTP) dhe CVE-2018-15133 (lidhur me Laravel Korniza në internet PHP). Duke shfrytëzuar këto dobësi, malware-i Androxgh0st lehtëson aksesin e paautorizuar dhe mundëson vjedhjen e kredencialeve të cloud, duke paraqitur një rrezik të konsiderueshëm të sigurisë kibernetike.

Malware AndroxGh0st synon të dhëna të ndjeshme në pajisjet e shkelura

Androxgh0st, një malware i skriptuar nga Python, është krijuar kryesisht për të synuar skedarët .env që ruajnë informacione konfidenciale, duke përfshirë kredencialet për aplikacione të profilit të lartë si Shërbimet Ueb Amazon (AWS), Microsoft Office 365, SendGrid dhe Twilio brenda kornizës së aplikacionit Laravel Web .

Ky malware krenohet me funksionalitete të ndryshme, duke mundësuar abuzimin e Protokollit të Transferimit të Postës së Thjeshtë (SMTP). Mund të skanojë dhe të shfrytëzojë kredencialet e ekspozuara dhe ndërfaqet e programimit të aplikacioneve (API), si dhe të vendosë predha Uebi. Kompromisi i kredencialeve të Twilio dhe SendGrid lejon aktorët e kërcënimit të orkestrojnë fushata të padëshiruara, duke imituar kompanitë e shkelura.

Në varësi të aplikimit të tij, AndroxGh0st shfaq dy funksione kryesore kundrejt kredencialeve të fituara. Ai që vërehet më shpesh përfshin kontrollimin e kufirit të dërgimit të emailit të llogarisë së komprometuar për të përcaktuar përshtatshmërinë e saj për qëllime spamming.

Sulmuesit gjithashtu kanë demonstruar krijimin e faqeve të rreme në faqet e internetit të komprometuara, duke krijuar një derë të pasme për të hyrë në bazat e të dhënave që përmbajnë informacione të ndjeshme. Kjo qasje përdoret për të vendosur mjete shtesë kërcënuese, thelbësore për operacionet e tyre. Në rastet kur kredencialet AWS identifikohen me sukses dhe rrezikohen në faqet e internetit të cenueshme, sulmuesit janë përpjekur të krijojnë përdorues të rinj dhe politika përdoruesish.

Për më tepër, operatorët Andoxgh0st përdorin kredencialet e vjedhura për të inicuar instanca të reja AWS, duke i lejuar ata të skanojnë për objektiva shtesë të cenueshëm në të gjithë Internetin si pjesë e operacioneve të tyre të vazhdueshme.

Si të parandaloni sulmet e mundshme të malware Andoxgh0st?

Për të zbutur ndikimin e sulmeve të malware Androxgh0st dhe për të minimizuar rrezikun e kompromisit, mbrojtësit e rrjetit këshillohen të zbatojnë masat e mëposhtme:

  • Mbani sistemet të përditësuara : Sigurohuni që të gjitha sistemet operative, softueri dhe firmueri të përditësohen rregullisht. Konkretisht, verifikoni që serverët Apache nuk janë duke ekzekutuar versionet 2.4.49 ose 2.4.50.
  • Konfigurimi URI : Konfirmoni që konfigurimi i parazgjedhur për të gjithë Identifikuesit Uniform të Burimeve (URI) është caktuar të refuzojë të gjitha kërkesat, përveç nëse ka një nevojë specifike dhe të justifikuar për akses.
  • Cilësimet e aplikacionit Laravel : Sigurohuni që çdo aplikacion i drejtpërdrejtë i Laravel të mos jetë në modalitetin 'debug' ose testimi. Hiqni kredencialet e resë kompjuterike nga skedarët .env dhe anuloni ato. Kryeni një rishikim një herë të kredencialeve të resë kompjuterike të ruajtura më parë dhe kryeni rishikime të vazhdueshme për lloje të tjera kredencialesh që nuk mund të hiqen.
  • Skanimet e sistemit të skedarëve : Skanoni sistemin e skedarëve të serverit për skedarë PHP të panjohura, me vëmendje të veçantë në direktorinë rrënjë dhe dosjen /vendor/phpunit/phpunit/src/Util/PHP.
  • Kërkesat dalëse të GET : Rishikoni kërkesat dalëse të GET, veçanërisht ato që përdorin komandat cURL, në faqet që strehojnë skedarë si GitHub ose Pastebin. Kushtojini vëmendje të veçantë kur kërkesa hyn në një skedar .php.

CISA ka përditësuar Katalogun e Vulnerabiliteteve të Shfrytëzuara të Njohura bazuar në dëshmitë e shfrytëzimit aktiv. U shtua deserializimi CVE-2018-15133 Laravel i cenueshmërisë së të dhënave jo të besueshme, ndërsa dobësitë e kalimit të shtegut të serverit Apache HTTP dhe dobësitë e injektimit të komandës CVE-2017-9841 PHPUnit u përfshinë në 21 shkurt 2022 dhe në 21 shkurt 2022. Këto shtesa synojnë të rrisin ndërgjegjësimin dhe të marrin masa të shpejta proaktive kundër dobësive të njohura që lidhen me Androxgh0st.

Në trend

Më e shikuara

Po ngarkohet...