AndroxGh0st பாட்நெட்

கிளவுட் நற்சான்றிதழ்களை திருடுவதில் குறிப்பிட்ட கவனம் செலுத்தி பாட்நெட்டை தீவிரமாக உருவாக்கி வரும் Androxgh0st மால்வேரைப் பயன்படுத்தும் அச்சுறுத்தல் நடிகர்களின் செயல்பாடுகள் குறித்து CISA மற்றும் FBI ஆகியவை கூட்டாக எச்சரிக்கை விடுத்துள்ளன. இந்த தீங்கிழைக்கும் நடிகர்கள் கூடுதல் தீங்கு விளைவிக்கும் பேலோடுகளை வரிசைப்படுத்த சேகரிக்கப்பட்ட தகவலைப் பயன்படுத்துகின்றனர். 2022 ஆம் ஆண்டில் சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்களால் ஆரம்பத்தில் கண்டறியப்பட்டது, இந்த போட்நெட் அந்த நேரத்தில் 40,000 க்கும் மேற்பட்ட சாதனங்களின் கட்டுப்பாட்டைப் பெற்றுள்ளது.

இந்த பாட்நெட்டின் செயல்பாடானது ரிமோட் கோட் எக்ஸிகியூஷனுக்கு (RCE) பாதிக்கப்படக்கூடிய இணையதளங்கள் மற்றும் சேவையகங்களில் உள்ள பாதிப்புகளை ஸ்கேன் செய்வதை உள்ளடக்கியது. குறிப்பிடத்தக்க வகையில், அச்சுறுத்தல் நடிகர்கள் குறிப்பிட்ட பாதிப்புகளை குறிவைக்கின்றனர், அதாவது CVE-2017-9841 (PHPUnit அலகு சோதனை கட்டமைப்போடு தொடர்புடையது), CVE-2021-41773 (Apache HTTP சேவையகத்துடன் இணைக்கப்பட்டுள்ளது) மற்றும் CVE-2018-15133 (லாராவுடன் தொடர்புடையது. PHP வலை கட்டமைப்பு). இந்த பாதிப்புகளைப் பயன்படுத்துவதன் மூலம், Androxgh0st தீம்பொருள் அங்கீகரிக்கப்படாத அணுகலை எளிதாக்குகிறது மற்றும் கிளவுட் நற்சான்றிதழ்களைத் திருடுவதற்கு உதவுகிறது, இது குறிப்பிடத்தக்க இணையப் பாதுகாப்பு அபாயத்தை ஏற்படுத்துகிறது.

AndroxGh0st மால்வேர், மீறப்பட்ட சாதனங்களில் முக்கியமான தரவை குறிவைக்கிறது

Androxgh0st, Python-scripted malware, முதன்மையாக Laravel Web Application கட்டமைப்பிற்குள் Amazon Web Services (AWS), Microsoft Office 365, SendGrid மற்றும் Twilio போன்ற உயர்தர பயன்பாடுகளுக்கான நற்சான்றிதழ்கள் உட்பட, ரகசியத் தகவல்களைச் சேமிக்கும் .env கோப்புகளை இலக்காகக் கொண்டு வடிவமைக்கப்பட்டுள்ளது. .

இந்த தீம்பொருள் பல்வேறு செயல்பாடுகளைக் கொண்டுள்ளது, இது எளிய அஞ்சல் பரிமாற்ற நெறிமுறையின் (SMTP) துஷ்பிரயோகத்தை செயல்படுத்துகிறது. இது வெளிப்பட்ட நற்சான்றிதழ்கள் மற்றும் பயன்பாட்டு நிரலாக்க இடைமுகங்களை (APIகள்) ஸ்கேன் செய்து பயன்படுத்திக் கொள்ளலாம், அத்துடன் வலை ஷெல்களை வரிசைப்படுத்தலாம். Twilio மற்றும் SendGrid நற்சான்றிதழ்களின் சமரசம், மீறப்பட்ட நிறுவனங்களைப் போல ஆள்மாறாட்டம் செய்து, ஸ்பேம் பிரச்சாரங்களைத் திட்டமிட அச்சுறுத்தும் நடிகர்களை அனுமதிக்கிறது.

அதன் பயன்பாட்டைப் பொறுத்து, AndroxGh0st வாங்கிய நற்சான்றிதழ்களுக்கு எதிராக இரண்டு முதன்மை செயல்பாடுகளை வெளிப்படுத்துகிறது. ஸ்பேமிங் நோக்கங்களுக்காக அதன் பொருத்தத்தைத் தீர்மானிக்க, சமரசம் செய்யப்பட்ட கணக்கின் மின்னஞ்சல் அனுப்பும் வரம்பைச் சரிபார்ப்பது அடிக்கடி கவனிக்கப்படுகிறது.

தாக்குபவர்கள் சமரசம் செய்யப்பட்ட வலைத்தளங்களில் போலி பக்கங்களை உருவாக்குவதையும் நிரூபித்துள்ளனர், முக்கியமான தகவல்களைக் கொண்ட தரவுத்தளங்களை அணுகுவதற்கான பின்கதவை நிறுவியுள்ளனர். இந்த அணுகல் அவர்களின் செயல்பாடுகளுக்கு முக்கியமான கூடுதல் அச்சுறுத்தும் கருவிகளை பயன்படுத்த பயன்படுத்தப்படுகிறது. AWS நற்சான்றிதழ்கள் வெற்றிகரமாக அடையாளம் காணப்பட்டு, பாதிக்கப்படக்கூடிய இணையதளங்களில் சமரசம் செய்யப்படும் சந்தர்ப்பங்களில், தாக்குபவர்கள் புதிய பயனர்கள் மற்றும் பயனர் கொள்கைகளை உருவாக்க முயற்சித்துள்ளனர்.

மேலும், Andoxgh0st ஆபரேட்டர்கள் புதிய AWS நிகழ்வுகளைத் தொடங்க திருடப்பட்ட நற்சான்றிதழ்களைப் பயன்படுத்துகின்றனர், இது அவர்களின் தற்போதைய செயல்பாடுகளின் ஒரு பகுதியாக இணையம் முழுவதும் பாதிக்கப்படக்கூடிய கூடுதல் இலக்குகளை ஸ்கேன் செய்ய அனுமதிக்கிறது.

சாத்தியமான Andoxgh0st மால்வேர் தாக்குதல்களைத் தடுப்பது எப்படி?

Androxgh0st தீம்பொருள் தாக்குதல்களின் தாக்கத்தைத் தணிக்கவும், சமரசத்தின் அபாயத்தைக் குறைக்கவும், பிணையப் பாதுகாப்பாளர்கள் பின்வரும் நடவடிக்கைகளைச் செயல்படுத்த அறிவுறுத்தப்படுகிறார்கள்:

• சிஸ்டம்ஸ் அப்டேட் ஆக இருங்கள் : அனைத்து ஆப்பரேட்டிங் சிஸ்டங்கள், மென்பொருள் மற்றும் ஃபார்ம்வேர்களும் தொடர்ந்து புதுப்பிக்கப்படுவதை உறுதி செய்யவும். குறிப்பாக, அப்பாச்சி சர்வர்கள் 2.4.49 அல்லது 2.4.50 பதிப்புகளை இயக்கவில்லை என்பதை சரிபார்க்கவும்.
• URI உள்ளமைவு : அனைத்து சீரான ஆதார அடையாளங்காட்டிகளுக்கான (URI கள்) இயல்புநிலை உள்ளமைவு, அணுகலுக்கான குறிப்பிட்ட மற்றும் நியாயமான தேவை இல்லாவிட்டால் அனைத்து கோரிக்கைகளையும் நிராகரிக்கும் வகையில் அமைக்கப்பட்டுள்ளது என்பதை உறுதிப்படுத்தவும்.
• Laravel பயன்பாட்டு அமைப்புகள் : எந்த நேரலை Laravel பயன்பாடுகளும் 'பிழைத்திருத்தம்' அல்லது சோதனை முறையில் இல்லை என்பதை உறுதிப்படுத்தவும். .env கோப்புகளிலிருந்து கிளவுட் நற்சான்றிதழ்களை அகற்றி அவற்றைத் திரும்பப் பெறவும். முன்பு சேமிக்கப்பட்ட கிளவுட் நற்சான்றிதழ்களை ஒரு முறை மதிப்பாய்வு செய்யவும் மற்றும் அகற்ற முடியாத பிற நற்சான்றிதழ் வகைகளுக்கு தற்போதைய மதிப்பாய்வுகளை மேற்கொள்ளவும்.
• கோப்பு முறைமை ஸ்கேன்கள் : ரூட் டைரக்டரி மற்றும் /vendor/phpunit/phpunit/src/Util/PHP கோப்புறையில் குறிப்பாக கவனம் செலுத்தி, அங்கீகரிக்கப்படாத PHP கோப்புகளுக்காக சேவையகத்தின் கோப்பு முறைமையை ஸ்கேன் செய்யவும்.
• வெளிச்செல்லும் GET கோரிக்கைகள் : GitHub அல்லது Pastebin போன்ற கோப்பு ஹோஸ்டிங் தளங்களுக்கு வெளிச்செல்லும் GET கோரிக்கைகளை மதிப்பாய்வு செய்யவும், குறிப்பாக cURL கட்டளைகளைப் பயன்படுத்துபவை. கோரிக்கை ஒரு .php கோப்பை அணுகும்போது சிறப்பு கவனம் செலுத்தவும்.

செயலில் உள்ள சுரண்டலின் சான்றுகளின் அடிப்படையில் CISA அதன் அறியப்பட்ட சுரண்டப்பட்ட பாதிப்புகள் பட்டியலைப் புதுப்பித்துள்ளது. நம்பத்தகாத தரவு பாதிப்பின் CVE-2018-15133 Laravel டீரியலைசேஷன் சேர்க்கப்பட்டது, அதே நேரத்தில் CVE-2021-41773 Apache HTTP சர்வர் பாத் டிராவர்சல் மற்றும் CVE-2017-9841 PHPUnit கட்டளை ஊசி பாதிப்புகள் முறையே நவம்பர் 2021 மற்றும் பிப்ரவரி 2021 இல் சேர்க்கப்பட்டன. இந்த சேர்த்தல்கள் விழிப்புணர்வை மேம்படுத்துவதையும், Androxgh0st உடன் தொடர்புடைய அறியப்பட்ட பாதிப்புகளுக்கு எதிராக உடனடி முன்முயற்சி நடவடிக்கைகளை மேற்கொள்வதையும் நோக்கமாகக் கொண்டுள்ளன.