AndroxGh0st Botnet

CISA och FBI har tillsammans utfärdat en varning angående aktiviteterna hos hotaktörer som använder skadlig programvara Androxgh0st, som aktivt bygger ett botnät med särskilt fokus på stöld av molnuppgifter. Dessa illvilliga aktörer utnyttjar den insamlade informationen för att distribuera ytterligare skadliga nyttolaster. Detta botnät, som ursprungligen upptäcktes av cybersäkerhetsforskare 2022, hade redan fått kontroll över mer än 40 000 enheter vid den tiden.

Tillvägagångssättet för detta botnät innebär att man söker efter sårbarheter på webbplatser och servrar som är mottagliga för fjärrkörning av kod (RCE). Hotaktörerna riktar sig särskilt mot specifika sårbarheter, nämligen CVE-2017-9841 (associerad med PHPUnit-enhetstestramverket), CVE-2021-41773 (länkat till Apache HTTP-servern) och CVE-2018-15133 (relaterat till Laravel PHP webbramverk). Genom att utnyttja dessa sårbarheter underlättar skadlig programvara Androxgh0st obehörig åtkomst och möjliggör stöld av molnuppgifter, vilket utgör en betydande cybersäkerhetsrisk.

AndroxGh0st Malware riktar sig mot känsliga data på enheter som har brutits

Androxgh0st, en Python-skriptad skadlig programvara, är i första hand utformad för att rikta in sig på .env-filer som lagrar konfidentiell information, inklusive autentiseringsuppgifter för högprofilerade applikationer som Amazon Web Services (AWS), Microsoft Office 365, SendGrid och Twilio inom Laravels webbapplikationsramverk. .

Denna skadliga programvara har olika funktioner, vilket möjliggör missbruk av Simple Mail Transfer Protocol (SMTP). Den kan skanna och utnyttja exponerade referenser och applikationsprogrammeringsgränssnitt (API), samt distribuera webbskal. Kompromissen med Twilio- och SendGrid-uppgifter gör det möjligt för hotaktörer att orkestrera spamkampanjer och utger sig för att vara de företag som har brutits.

Beroende på dess tillämpning, uppvisar AndroxGh0st två primära funktioner mot förvärvade referenser. Den som oftare observeras innebär att man kontrollerar gränsen för sändning av e-post för det intrångade kontot för att avgöra dess lämplighet för spamändamål.

Angriparna har också visat skapandet av falska sidor på komprometterade webbplatser och skapat en bakdörr för åtkomst till databaser som innehåller känslig information. Denna åtkomst används för att distribuera ytterligare hotfulla verktyg som är avgörande för deras verksamhet. I de fall där AWS-uppgifter har identifierats och äventyrats på sårbara webbplatser har angriparna försökt skapa nya användare och användarpolicyer.

Dessutom utnyttjar Andoxgh0st-operatörer stulna referenser för att initiera nya AWS-instanser, vilket gör att de kan söka efter ytterligare sårbara mål över Internet som en del av deras pågående verksamhet.

Hur förhindrar man potentiella Andoxgh0st Malware-attacker?

För att mildra effekterna av Androxgh0st skadliga attacker och minimera risken för kompromisser, rekommenderas nätverksförsvarare att implementera följande åtgärder:

• Håll systemen uppdaterade : Se till att alla operativsystem, programvara och firmware uppdateras regelbundet. Mer specifikt, verifiera att Apache-servrar inte kör version 2.4.49 eller 2.4.50.
• URI-konfiguration : Bekräfta att standardkonfigurationen för alla Uniform Resource Identifiers (URI) är inställd på att neka alla förfrågningar om det inte finns ett specifikt och motiverat behov av tillgänglighet.
• Laravel-applikationsinställningar : Se till att alla Laravel-applikationer inte är i "debug" eller testläge. Ta bort autentiseringsuppgifter för molnet från .env-filer och återkalla dem. Utför en engångsgranskning av tidigare lagrade autentiseringsuppgifter i molnet och utför pågående granskningar för andra inloggningsuppgifter som inte kan tas bort.
• Filsystemsökningar : Skanna serverns filsystem efter okända PHP-filer, med särskild uppmärksamhet på rotkatalogen och mappen /vendor/phpunit/phpunit/src/Util/PHP.
• Utgående GET-förfrågningar : Granska utgående GET-förfrågningar, särskilt de som använder cURL-kommandon, till filvärdplatser som GitHub eller Pastebin. Var särskilt uppmärksam när begäran kommer åt en .php-fil.

CISA har uppdaterat sin katalog över kända exploaterade sårbarheter baserat på bevis på aktivt utnyttjande. CVE-2018-15133 Laravels deserialisering av otillförlitlig datasårbarhet lades till, medan CVE-2021-41773 Apache HTTP Server-sökvägen och CVE-2017-9841 PHPUnit kommandoinjektionssårbarheter inkluderades i november 2021 respektive februari 2022. Dessa tillägg syftar till att öka medvetenheten och snabba proaktiva åtgärder mot kända sårbarheter i samband med Androxgh0st.