Multi-License Discount Quote
Banta sa Database Malware AndroxGh0st Botnet

AndroxGh0st Botnet

Sa pamamagitan ng Mezo sa Malware, Botnets
Isalin To:
Wikang Filipino

Ang CISA at ang FBI ay magkasamang naglabas ng babala tungkol sa mga aktibidad ng mga banta na gumagamit ng Androxgh0st malware, na aktibong gumagawa ng botnet na may partikular na pagtutok sa pagnanakaw ng mga kredensyal sa ulap. Ang mga malevolent na aktor na ito ay gumagamit ng nakolektang impormasyon para mag-deploy ng mga karagdagang mapaminsalang payload. Una nang na-detect ng mga mananaliksik sa cybersecurity noong 2022, nakuha na ng botnet na ito ang kontrol sa mahigit 40,000 device noong panahong iyon.

Ang modus operandi ng botnet na ito ay nagsasangkot ng pag-scan para sa mga kahinaan sa mga website at server na madaling kapitan sa remote code execution (RCE). Kapansin-pansin, ang mga banta ng aktor ay nagta-target ng mga partikular na kahinaan, katulad ng CVE-2017-9841 (na nauugnay sa PHPUnit unit testing framework), CVE-2021-41773 (naka-link sa Apache HTTP Server), at CVE-2018-15133 (na may kaugnayan sa Laravel PHP web framework). Sa pamamagitan ng pagsasamantala sa mga kahinaang ito, pinapadali ng Androxgh0st malware ang hindi awtorisadong pag-access at nagbibigay-daan sa pagnanakaw ng mga kredensyal sa ulap, na nagdudulot ng malaking panganib sa cybersecurity.

Tinatarget ng AndroxGh0st Malware ang Sensitibong Data sa Mga Nilabag na Device

Ang Androxgh0st, isang Python-scripted malware, ay pangunahing idinisenyo upang i-target ang mga .env file na nag-iimbak ng kumpidensyal na impormasyon, kabilang ang mga kredensyal para sa mga high-profile na application tulad ng Amazon Web Services (AWS), Microsoft Office 365, SendGrid at Twilio sa loob ng Laravel Web application framework .

Ipinagmamalaki ng malware na ito ang iba't ibang functionality, na nagpapagana sa pag-abuso sa Simple Mail Transfer Protocol (SMTP). Maaari itong mag-scan at mag-exploit ng mga nakalantad na kredensyal at mga application programming interface (API), pati na rin mag-deploy ng mga Web shell. Ang kompromiso ng mga kredensyal ng Twilio at SendGrid ay nagpapahintulot sa mga aktor ng pagbabanta na ayusin ang mga kampanyang spam, na ginagaya ang mga nilabag na kumpanya.

Depende sa aplikasyon nito, ang AndroxGh0st ay nagpapakita ng dalawang pangunahing pag-andar laban sa mga nakuhang kredensyal. Ang mas madalas na sinusunod ay nagsasangkot ng pagsuri sa limitasyon sa pagpapadala ng email ng nakompromisong account upang matukoy ang pagiging angkop nito para sa mga layunin ng pag-spam.

Ipinakita rin ng mga umaatake ang paglikha ng mga pekeng pahina sa mga nakompromisong website, na nagtatag ng backdoor para sa pag-access sa mga database na naglalaman ng sensitibong impormasyon. Ginagamit ang access na ito upang mag-deploy ng mga karagdagang tool sa pagbabanta na mahalaga para sa kanilang mga operasyon. Sa mga pagkakataon kung saan matagumpay na natukoy at nakompromiso ang mga kredensyal ng AWS sa mga mahihinang website, sinubukan ng mga umaatake na lumikha ng mga bagong user at patakaran ng user.

Higit pa rito, ginagamit ng mga operator ng Andoxgh0st ang mga ninakaw na kredensyal upang magsimula ng mga bagong instance ng AWS, na nagpapahintulot sa kanila na mag-scan para sa mga karagdagang masusugatan na target sa buong Internet bilang bahagi ng kanilang mga patuloy na operasyon.

Paano Pigilan ang Potensyal na Andoxgh0st Malware Attacks?

Upang mabawasan ang epekto ng mga pag-atake ng Androxgh0st malware at mabawasan ang panganib ng kompromiso, pinapayuhan ang mga tagapagtanggol ng network na ipatupad ang mga sumusunod na hakbang:

  • Panatilihing Updated ang Mga System : Tiyaking regular na ina-update ang lahat ng operating system, software, at firmware. Sa partikular, i-verify na ang mga server ng Apache ay hindi nagpapatakbo ng mga bersyon 2.4.49 o 2.4.50.
  • Configuration ng URI : Kumpirmahin na ang default na configuration para sa lahat ng Uniform Resource Identifiers (URI) ay nakatakdang tanggihan ang lahat ng kahilingan maliban kung may partikular at makatwirang pangangailangan para sa accessibility.
  • Mga Setting ng Laravel Application : Tiyakin na ang anumang live na Laravel application ay wala sa 'debug' o testing mode. Alisin ang mga kredensyal sa cloud mula sa mga .env file at bawiin ang mga ito. Magsagawa ng isang beses na pagsusuri ng mga dati nang nakaimbak na kredensyal sa cloud at magsagawa ng mga patuloy na pagsusuri para sa iba pang mga uri ng kredensyal na hindi maaalis.
  • Mga Pag-scan ng File System : I-scan ang file system ng server para sa mga hindi nakikilalang PHP file, na may partikular na atensyon sa root directory at sa folder na /vendor/phpunit/phpunit/src/Util/PHP.
  • Mga Papalabas na Kahilingan sa GET : Suriin ang mga papalabas na kahilingan sa GET, lalo na ang mga gumagamit ng mga utos ng cURL, sa mga site na nagho-host ng file tulad ng GitHub o Pastebin. Magbayad ng espesyal na pansin kapag ang kahilingan ay nag-access ng isang .php file.

In-update ng CISA ang Kilalang Pinagsasamantalahang Katalogo nito batay sa ebidensya ng aktibong pagsasamantala. Ang CVE-2018-15133 Laravel deserialization ng hindi pinagkakatiwalaang kahinaan ng data ay idinagdag, habang ang CVE-2021-41773 Apache HTTP Server path traversal at ang CVE-2017-9841 PHPUnit command injection vulnerabilities ay kasama noong Nobyembre 2021 at Pebrero 2022, ayon sa pagkakabanggit. Ang mga karagdagan na ito ay naglalayon na pahusayin ang kamalayan at maagap na mga proactive na hakbang laban sa mga kilalang kahinaan na nauugnay sa Androxgh0st.

Trending

Pinaka Nanood

Naglo-load...