AndroxGh0st บอตเน็ต

CISA และ FBI ได้ร่วมกันออกคำเตือนเกี่ยวกับกิจกรรมของผู้คุกคามที่ใช้มัลแวร์ Androxgh0st ซึ่งกำลังสร้างบอตเน็ตโดยมุ่งเน้นเฉพาะไปที่การขโมยข้อมูลประจำตัวบนคลาวด์ ผู้กระทำความผิดเหล่านี้ใช้ประโยชน์จากข้อมูลที่เก็บรวบรวมเพื่อปรับใช้เพย์โหลดที่เป็นอันตรายเพิ่มเติม ตรวจพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ในปี 2565 บ็อตเน็ตนี้สามารถควบคุมอุปกรณ์ได้มากกว่า 40,000 เครื่องในขณะนั้น

วิธีการดำเนินการของบอตเน็ตนี้เกี่ยวข้องกับการสแกนหาช่องโหว่ในเว็บไซต์และเซิร์ฟเวอร์ที่ไวต่อการเรียกใช้โค้ดจากระยะไกล (RCE) โดยเฉพาะอย่างยิ่ง ผู้แสดงภัยคุกคามกำหนดเป้าหมายไปที่ช่องโหว่เฉพาะ ได้แก่ CVE-2017-9841 (เกี่ยวข้องกับเฟรมเวิร์กการทดสอบหน่วย PHPUnit), CVE-2021-41773 (เชื่อมโยงกับ Apache HTTP Server) และ CVE-2018-15133 (เกี่ยวข้องกับ Laravel กรอบงานเว็บ PHP) ด้วยการใช้ประโยชน์จากช่องโหว่เหล่านี้ มัลแวร์ Androxgh0st อำนวยความสะดวกในการเข้าถึงโดยไม่ได้รับอนุญาต และเปิดใช้งานการขโมยข้อมูลรับรองระบบคลาวด์ ซึ่งก่อให้เกิดความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่สำคัญ

มัลแวร์ AndroxGh0st กำหนดเป้าหมายข้อมูลที่ละเอียดอ่อนบนอุปกรณ์ที่ถูกละเมิด

Androxgh0st ซึ่งเป็นมัลแวร์ที่ใช้สคริปต์ Python ได้รับการออกแบบมาเพื่อกำหนดเป้าหมายไฟล์ .env เป็นหลักซึ่งจัดเก็บข้อมูลที่เป็นความลับ รวมถึงข้อมูลประจำตัวสำหรับแอปพลิเคชันระดับสูง เช่น Amazon Web Services (AWS), Microsoft Office 365, SendGrid และ Twilio ภายในเฟรมเวิร์กแอปพลิเคชันเว็บ Laravel .

มัลแวร์นี้มีฟังก์ชันการทำงานที่หลากหลาย ทำให้สามารถใช้งาน Simple Mail Transfer Protocol (SMTP) ในทางที่ผิดได้ สามารถสแกนและใช้ประโยชน์จากข้อมูลรับรองที่เปิดเผยและ Application Programming Interfaces (API) รวมถึงปรับใช้ Web Shells การประนีประนอมของข้อมูลประจำตัวของ Twilio และ SendGrid ช่วยให้ผู้คุกคามสามารถจัดการแคมเปญสแปมโดยแอบอ้างเป็นบริษัทที่ถูกละเมิดได้

AndroxGh0st จะแสดงฟังก์ชันหลักสองฟังก์ชันเทียบกับข้อมูลประจำตัวที่ได้รับ ทั้งนี้ขึ้นอยู่กับการใช้งาน สิ่งที่สังเกตได้บ่อยกว่านั้นคือการตรวจสอบขีดจำกัดการส่งอีเมลของบัญชีที่ถูกบุกรุกเพื่อพิจารณาความเหมาะสมสำหรับวัตถุประสงค์ในการส่งสแปม

ผู้โจมตียังได้สาธิตการสร้างเพจปลอมบนเว็บไซต์ที่ถูกบุกรุก สร้างประตูหลังสำหรับการเข้าถึงฐานข้อมูลที่มีข้อมูลที่ละเอียดอ่อน การเข้าถึงนี้ใช้เพื่อปรับใช้เครื่องมือคุกคามเพิ่มเติมที่สำคัญสำหรับการปฏิบัติงาน ในกรณีที่ระบุข้อมูลประจำตัว AWS สำเร็จและถูกบุกรุกบนเว็บไซต์ที่มีช่องโหว่ ผู้โจมตีได้พยายามสร้างผู้ใช้และนโยบายผู้ใช้ใหม่

นอกจากนี้ ผู้ปฏิบัติงาน Andoxgh0st ยังใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกขโมยเพื่อเริ่มต้นอินสแตนซ์ AWS ใหม่ ช่วยให้พวกเขาสามารถสแกนหาเป้าหมายที่มีช่องโหว่เพิ่มเติมผ่านทางอินเทอร์เน็ตซึ่งเป็นส่วนหนึ่งของการดำเนินงานที่กำลังดำเนินอยู่

จะป้องกันการโจมตีมัลแวร์ Andoxgh0st ที่อาจเกิดขึ้นได้อย่างไร

เพื่อลดผลกระทบของการโจมตีมัลแวร์ Androxgh0st และลดความเสี่ยงของการประนีประนอม ผู้พิทักษ์เครือข่ายควรใช้มาตรการต่อไปนี้:

• อัปเดตระบบอยู่เสมอ : ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ทั้งหมดได้รับการอัปเดตเป็นประจำ ตรวจสอบเป็นพิเศษว่าเซิร์ฟเวอร์ Apache ไม่ได้ใช้เวอร์ชัน 2.4.49 หรือ 2.4.50
• การกำหนดค่า URI : ยืนยันว่าการกำหนดค่าเริ่มต้นสำหรับ Uniform Resource Identifiers (URI) ทั้งหมดได้รับการตั้งค่าให้ปฏิเสธคำขอทั้งหมด เว้นแต่จะมีความจำเป็นเฉพาะเจาะจงและสมเหตุสมผลสำหรับการเข้าถึง
• การตั้งค่าแอปพลิเคชัน Laravel : ตรวจสอบให้แน่ใจว่าแอปพลิเคชัน Laravel ที่ใช้งานจริงไม่ได้อยู่ใน 'ดีบั๊ก' หรือโหมดการทดสอบ ลบข้อมูลรับรองระบบคลาวด์ออกจากไฟล์ .env และเพิกถอน ดำเนินการตรวจสอบข้อมูลรับรองระบบคลาวด์ที่เก็บไว้ก่อนหน้านี้เพียงครั้งเดียว และดำเนินการตรวจสอบอย่างต่อเนื่องสำหรับข้อมูลรับรองประเภทอื่นๆ ที่ไม่สามารถลบออกได้
• การสแกนระบบไฟล์ : สแกนระบบไฟล์ของเซิร์ฟเวอร์เพื่อหาไฟล์ PHP ที่ไม่รู้จัก โดยให้ความสนใจเป็นพิเศษกับไดเรกทอรีรากและโฟลเดอร์ /vendor/phpunit/phpunit/src/Util/PHP
• คำขอ GET ขาออก : ตรวจสอบคำขอ GET ขาออก โดยเฉพาะคำขอที่ใช้คำสั่ง cURL ไปยังไซต์โฮสต์ไฟล์ เช่น GitHub หรือ Pastebin ให้ความสนใจเป็นพิเศษเมื่อคำขอเข้าถึงไฟล์ .php

CISA ได้อัปเดตแค็ตตาล็อก Known Exploited Vulnerabilities Catalog โดยอิงตามหลักฐานของการแสวงหาผลประโยชน์ที่มีการใช้งานอยู่ มีการเพิ่มการดีซีเรียลไลเซชัน Laravel CVE-2018-15133 ของช่องโหว่ข้อมูลที่ไม่น่าเชื่อถือ ในขณะที่ CVE-2021-41773 Apache HTTP Server path traversal และช่องโหว่การแทรกคำสั่ง CVE-2017-9841 PHPUnit ถูกรวมไว้ในเดือนพฤศจิกายน 2021 และกุมภาพันธ์ 2022 ตามลำดับ ส่วนเพิ่มเติมเหล่านี้มีจุดมุ่งหมายเพื่อเพิ่มความตระหนักรู้และเร่งรัดมาตรการเชิงรุกต่อช่องโหว่ที่ทราบที่เกี่ยวข้องกับ Androxgh0st