AndroxGh0st Botnet

CISA మరియు FBI సంయుక్తంగా క్లౌడ్ ఆధారాల దొంగతనంపై నిర్దిష్ట దృష్టితో బాట్‌నెట్‌ను చురుకుగా నిర్మిస్తున్న Androxgh0st మాల్వేర్‌ని ఉపయోగించే ముప్పు నటుల కార్యకలాపాలకు సంబంధించి హెచ్చరికను జారీ చేశాయి. ఈ దుర్మార్గపు నటులు అదనపు హానికరమైన పేలోడ్‌లను అమలు చేయడానికి సేకరించిన సమాచారాన్ని ప్రభావితం చేస్తారు. 2022లో సైబర్‌ సెక్యూరిటీ పరిశోధకులచే ప్రారంభంలో కనుగొనబడిన ఈ బోట్‌నెట్ ఆ సమయంలో ఇప్పటికే 40,000 కంటే ఎక్కువ పరికరాలపై నియంత్రణను పొందింది.

ఈ బోట్‌నెట్ యొక్క కార్యనిర్వహణలో వెబ్‌సైట్‌లు మరియు రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE)కి అవకాశం ఉన్న సర్వర్‌లలోని దుర్బలత్వాల కోసం స్కానింగ్ ఉంటుంది. ముఖ్యంగా, ముప్పు నటులు నిర్దిష్ట దుర్బలత్వాలను లక్ష్యంగా చేసుకుంటారు, అవి CVE-2017-9841 (PHPUnit యూనిట్ టెస్టింగ్ ఫ్రేమ్‌వర్క్‌తో అనుబంధించబడింది), CVE-2021-41773 (Apache HTTP సర్వర్‌కి లింక్ చేయబడింది) మరియు CVE-2018-15133 (లారాకు సంబంధించినది PHP వెబ్ ఫ్రేమ్‌వర్క్). ఈ దుర్బలత్వాలను ఉపయోగించుకోవడం ద్వారా, Androxgh0st మాల్వేర్ అనధికార ప్రాప్యతను సులభతరం చేస్తుంది మరియు క్లౌడ్ ఆధారాలను దొంగిలించడాన్ని ప్రారంభిస్తుంది, ఇది గణనీయమైన సైబర్ భద్రత ప్రమాదాన్ని కలిగిస్తుంది.

AndroxGh0st మాల్వేర్ ఉల్లంఘించిన పరికరాలపై సున్నితమైన డేటాను లక్ష్యంగా చేసుకుంటుంది

Androxgh0st, పైథాన్-స్క్రిప్టెడ్ మాల్వేర్, ప్రధానంగా Laravel వెబ్ అప్లికేషన్ ఫ్రేమ్‌వర్క్‌లోని Amazon Web Services (AWS), Microsoft Office 365, SendGrid మరియు Twilio వంటి హై-ప్రొఫైల్ అప్లికేషన్‌ల కోసం ఆధారాలతో సహా రహస్య సమాచారాన్ని నిల్వ చేసే .env ఫైల్‌లను లక్ష్యంగా చేసుకోవడానికి రూపొందించబడింది. .

ఈ మాల్వేర్ వివిధ కార్యాచరణలను కలిగి ఉంది, సాధారణ మెయిల్ బదిలీ ప్రోటోకాల్ (SMTP) దుర్వినియోగాన్ని అనుమతిస్తుంది. ఇది బహిర్గతమైన ఆధారాలు మరియు అప్లికేషన్ ప్రోగ్రామింగ్ ఇంటర్‌ఫేస్‌లను (APIలు) స్కాన్ చేయగలదు మరియు దోపిడీ చేయగలదు, అలాగే వెబ్ షెల్‌లను అమలు చేస్తుంది. Twilio మరియు SendGrid ఆధారాల యొక్క రాజీ, ఉల్లంఘించిన కంపెనీల వలె నటించి, స్పామ్ ప్రచారాలను ఆర్కెస్ట్రేట్ చేయడానికి బెదిరింపు నటులను అనుమతిస్తుంది.

దాని అప్లికేషన్ ఆధారంగా, AndroxGh0st పొందిన ఆధారాలకు వ్యతిరేకంగా రెండు ప్రాథమిక విధులను ప్రదర్శిస్తుంది. స్పామింగ్ ప్రయోజనాల కోసం దాని అనుకూలతను గుర్తించడానికి రాజీపడిన ఖాతా యొక్క ఇమెయిల్ పంపే పరిమితిని తనిఖీ చేయడం తరచుగా గమనించినది.

దాడి చేసేవారు రాజీపడిన వెబ్‌సైట్‌లలో నకిలీ పేజీల సృష్టిని కూడా ప్రదర్శించారు, సున్నితమైన సమాచారాన్ని కలిగి ఉన్న డేటాబేస్‌లను యాక్సెస్ చేయడానికి బ్యాక్‌డోర్‌ను ఏర్పాటు చేశారు. ఈ యాక్సెస్ వారి కార్యకలాపాలకు కీలకమైన అదనపు బెదిరింపు సాధనాలను అమలు చేయడానికి ఉపయోగించబడుతుంది. AWS ఆధారాలు విజయవంతంగా గుర్తించబడిన మరియు హాని కలిగించే వెబ్‌సైట్‌లలో రాజీపడిన సందర్భాల్లో, దాడి చేసేవారు కొత్త వినియోగదారులను మరియు వినియోగదారు విధానాలను రూపొందించడానికి ప్రయత్నించారు.

అంతేకాకుండా, Andoxgh0st ఆపరేటర్లు కొత్త AWS ఉదంతాలను ప్రారంభించడానికి దొంగిలించబడిన ఆధారాలను ప్రభావితం చేస్తారు, వారి కొనసాగుతున్న కార్యకలాపాలలో భాగంగా ఇంటర్నెట్‌లో అదనపు హాని కలిగించే లక్ష్యాలను స్కాన్ చేయడానికి వారిని అనుమతిస్తుంది.

సంభావ్య Andoxgh0st మాల్వేర్ దాడులను ఎలా నిరోధించాలి?

Androxgh0st మాల్వేర్ దాడుల ప్రభావాన్ని తగ్గించడానికి మరియు రాజీ ప్రమాదాన్ని తగ్గించడానికి, నెట్‌వర్క్ డిఫెండర్‌లు క్రింది చర్యలను అమలు చేయాలని సూచించారు:

• సిస్టమ్‌లను అప్‌డేట్‌గా ఉంచండి : అన్ని ఆపరేటింగ్ సిస్టమ్‌లు, సాఫ్ట్‌వేర్ మరియు ఫర్మ్‌వేర్ క్రమం తప్పకుండా నవీకరించబడుతున్నాయని నిర్ధారించుకోండి. ప్రత్యేకంగా, Apache సర్వర్‌లు 2.4.49 లేదా 2.4.50 వెర్షన్‌లను అమలు చేయడం లేదని ధృవీకరించండి.
• URI కాన్ఫిగరేషన్ : అన్ని యూనిఫాం రిసోర్స్ ఐడెంటిఫైయర్‌ల కోసం డిఫాల్ట్ కాన్ఫిగరేషన్ (URIలు) అన్ని అభ్యర్థనలను తిరస్కరించడానికి సెట్ చేయబడిందని నిర్ధారించండి.
• Laravel అప్లికేషన్ సెట్టింగ్‌లు : ఏవైనా ప్రత్యక్ష Laravel అప్లికేషన్‌లు 'డీబగ్' లేదా టెస్టింగ్ మోడ్‌లో లేవని నిర్ధారించుకోండి. .env ఫైల్‌ల నుండి క్లౌడ్ ఆధారాలను తీసివేసి, వాటిని ఉపసంహరించుకోండి. మునుపు నిల్వ చేసిన క్లౌడ్ ఆధారాలను ఒకసారి సమీక్షించండి మరియు తీసివేయలేని ఇతర ఆధారాల రకాల కోసం కొనసాగుతున్న సమీక్షలను నిర్వహించండి.
• ఫైల్ సిస్టమ్ స్కాన్‌లు : రూట్ డైరెక్టరీ మరియు /vendor/phpunit/phpunit/src/Util/PHP ఫోల్డర్‌పై ప్రత్యేక శ్రద్ధతో, గుర్తించబడని PHP ఫైల్‌ల కోసం సర్వర్ ఫైల్ సిస్టమ్‌ను స్కాన్ చేయండి.
• అవుట్‌గోయింగ్ GET అభ్యర్థనలు : GitHub లేదా Pastebin వంటి ఫైల్-హోస్టింగ్ సైట్‌లకు అవుట్‌గోయింగ్ GET అభ్యర్థనలను సమీక్షించండి, ముఖ్యంగా cURL ఆదేశాలను ఉపయోగిస్తున్నవి. అభ్యర్థన .php ఫైల్‌ను యాక్సెస్ చేసినప్పుడు ప్రత్యేక శ్రద్ధ వహించండి.

క్రియాశీల దోపిడీకి సంబంధించిన సాక్ష్యం ఆధారంగా CISA దాని తెలిసిన ఎక్స్‌ప్లోయిటెడ్ వల్నరబిలిటీస్ కేటలాగ్‌ను అప్‌డేట్ చేసింది. అవిశ్వసనీయ డేటా దుర్బలత్వం యొక్క CVE-2018-15133 Laravel డీరియలైజేషన్ జోడించబడింది, అయితే CVE-2021-41773 Apache HTTP సర్వర్ పాత్ ట్రావెర్సల్ మరియు CVE-2017-9841 PHPUnit కమాండ్ ఇంజెక్షన్ వల్నరబిలిటీలు ఫిబ్రవరి 2021 మరియు ఫిబ్రవరి 2021లో చేర్చబడ్డాయి. ఈ జోడింపులు Androxgh0stతో అనుబంధించబడిన తెలిసిన దుర్బలత్వాలపై అవగాహన మరియు సత్వర క్రియాశీల చర్యలను మెరుగుపరచడం లక్ష్యంగా పెట్టుకున్నాయి.