АндрокГх0ст Ботнет

ЦИСА и ФБИ су заједно издали упозорење у вези са активностима претњи које користе злонамерни софтвер Андрокгх0ст, који активно граде ботнет са посебним фокусом на крађу акредитива у облаку. Ови злонамерни актери користе прикупљене информације за постављање додатних штетних терета. Првобитно откривен од стране истраживача сајбер безбедности 2022. године, овај ботнет је у то време већ стекао контролу над више од 40.000 уређаја.

Модус операнди овог ботнета укључује скенирање рањивости на веб локацијама и серверима који су подложни даљинском извршавању кода (РЦЕ). Посебно, актери претњи циљају на специфичне рањивости, наиме ЦВЕ-2017-9841 (повезан са ПХПУнит оквиром за тестирање јединица), ЦВЕ-2021-41773 (повезан са Апацхе ХТТП сервером) и ЦВЕ-2018-15133 (везан за Ларавел ПХП веб оквир). Искоришћавањем ових рањивости, злонамерни софтвер Андрокгх0ст олакшава неовлашћени приступ и омогућава крађу акредитива у облаку, што представља значајан ризик за сајбер безбедност.

Злонамерни софтвер АндрокГх0ст циља осетљиве податке на оштећеним уређајима

Андрокгх0ст, малвер са Питхон-ом, првенствено је дизајниран да циља .енв датотеке које чувају поверљиве информације, укључујући акредитиве за апликације високог профила као што су Амазон Веб Сервицес (АВС), Мицрософт Оффице 365, СендГрид и Твилио у оквиру Ларавел веб апликације .

Овај злонамерни софтвер има различите функције, омогућавајући злоупотребу једноставног протокола за пренос поште (СМТП). Може да скенира и искоришћава изложене акредитиве и интерфејсе за програмирање апликација (АПИ), као и да примењује веб шкољке. Компромис Твилио и СендГрид акредитива омогућава актерима претњи да организују кампање нежељене поште, лажно представљајући компаније које су прекршиле.

У зависности од своје примене, АндрокГх0ст показује две примарне функције у односу на стечене акредитиве. Оно које се чешће примећује укључује проверу ограничења слања е-поште компромитованог налога да би се утврдило да ли је погодан за слање нежељене поште.

Нападачи су такође демонстрирали стварање лажних страница на компромитованим веб локацијама, успостављајући бацкдоор за приступ базама података које садрже осетљиве информације. Овај приступ се користи за примену додатних претећих алата који су кључни за њихове операције. У случајевима када су АВС акредитиви успешно идентификовани и компромитовани на рањивим веб локацијама, нападачи су покушали да креирају нове кориснике и корисничке смернице.

Штавише, Андокгх0ст оператери користе украдене акредитиве за покретање нових АВС инстанци, омогућавајући им да скенирају додатне рањиве мете широм Интернета као део својих текућих операција.

Како спречити потенцијалне Андокгх0ст нападе злонамерног софтвера?

Да би ублажили утицај напада злонамерног софтвера Андрокгх0ст и умањили ризик од компромитовања, заштитницима мреже се саветује да примене следеће мере:

• Одржавајте системе ажурираним : Уверите се да се сви оперативни системи, софтвер и фирмвер редовно ажурирају. Конкретно, проверите да Апацхе сервери не користе верзије 2.4.49 или 2.4.50.
• УРИ конфигурација : Потврдите да је подразумевана конфигурација за све јединствене идентификаторе ресурса (УРИ) подешена да одбија све захтеве осим ако не постоји посебна и оправдана потреба за приступачношћу.
• Подешавања Ларавел апликације : Уверите се да све активне Ларавел апликације нису у режиму „дебуг“ или тестирања. Уклоните акредитиве у облаку из .енв датотека и опозовите их. Извршите једнократни преглед претходно ускладиштених акредитива у облаку и спроведите текуће прегледе за друге типове акредитива који се не могу уклонити.
• Скенирање система датотека : Скенирајте систем датотека сервера у потрази за непрепознатим ПХП датотекама, са посебном пажњом на основни директоријум и директоријум /вендор/пхпунит/пхпунит/срц/Утил/ПХП.
• Одлазни ГЕТ захтеви : Прегледајте одлазне ГЕТ захтеве, посебно оне који користе цУРЛ команде, до сајтова за хостовање датотека као што су ГитХуб или Пастебин. Обратите посебну пажњу када захтев приступа .пхп датотеци.

ЦИСА је ажурирала свој Каталог познатих искоришћених рањивости на основу доказа о активној експлоатацији. Додата је ЦВЕ-2018-15133 Ларавел десериализација рањивости непоузданих података, док су ЦВЕ-2021-41773 Апацхе ХТТП сервер прелазак путање и рањивости убризгавања команди ЦВЕ-2017-9841 ПХПУнит укључене у новембру 2021., односно фебруару. Ови додаци имају за циљ да повећају свест и подстакну проактивне мере против познатих рањивости повезаних са Андрокгх0ст.