AndroxGh0st Botnet

CISA ve FBI, Androxgh0st kötü amaçlı yazılımını kullanan ve özellikle bulut kimlik bilgilerinin çalınmasına odaklanan aktif bir botnet oluşturan tehdit aktörlerinin faaliyetlerine ilişkin ortak bir uyarı yayınladı. Bu kötü niyetli aktörler, ek zararlı yükler dağıtmak için toplanan bilgilerden yararlanıyor. İlk olarak 2022 yılında siber güvenlik araştırmacıları tarafından tespit edilen bu botnet, o dönemde halihazırda 40.000'den fazla cihazın kontrolünü ele geçirmişti.

Bu botnet'in işleyiş biçimi, uzaktan kod yürütmeye (RCE) duyarlı web siteleri ve sunuculardaki güvenlik açıklarının taranmasını içerir. Tehdit aktörleri özellikle CVE-2017-9841 (PHPUnit birim test çerçevesiyle ilişkili), CVE-2021-41773 (Apache HTTP Sunucusuna bağlı) ve CVE-2018-15133 (Laravel ile ilişkili) gibi belirli güvenlik açıklarını hedef alıyor. PHP web çerçevesi). Androxgh0st kötü amaçlı yazılımı, bu güvenlik açıklarından yararlanarak yetkisiz erişimi kolaylaştırır ve bulut kimlik bilgilerinin çalınmasına olanak tanıyarak önemli bir siber güvenlik riski oluşturur.

AndroxGh0st Kötü Amaçlı Yazılımı, İhlal Edilen Cihazlardaki Hassas Verileri Hedefliyor

Python komut dosyasıyla yazılan bir kötü amaçlı yazılım olan Androxgh0st, öncelikle Laravel Web uygulama çerçevesi içindeki Amazon Web Services (AWS), Microsoft Office 365, SendGrid ve Twilio gibi yüksek profilli uygulamaların kimlik bilgileri de dahil olmak üzere gizli bilgileri depolayan .env dosyalarını hedeflemek üzere tasarlanmıştır. .

Bu kötü amaçlı yazılım, Basit Posta Aktarım Protokolünün (SMTP) kötüye kullanılmasına olanak tanıyan çeşitli işlevlere sahiptir. Açıkta kalan kimlik bilgilerini ve uygulama programlama arayüzlerini (API'ler) tarayıp bunlardan yararlanabilir, ayrıca Web kabuklarını dağıtabilir. Twilio ve SendGrid kimlik bilgilerinin ele geçirilmesi, tehdit aktörlerinin ihlal edilen şirketlerin kimliğine bürünerek spam kampanyaları düzenlemesine olanak tanır.

AndroxGh0st, uygulamasına bağlı olarak edinilen kimlik bilgilerine göre iki temel işlev sergiler. Daha sık gözlemleneni, ele geçirilen hesabın spam gönderme amaçlarına uygunluğunu belirlemek için e-posta gönderme limitinin kontrol edilmesini içerir.

Saldırganlar ayrıca, ele geçirilen web sitelerinde sahte sayfalar oluşturulduğunu ve hassas bilgiler içeren veritabanlarına erişim için bir arka kapı oluşturduğunu da gösterdi. Bu erişim, operasyonları için hayati öneme sahip ek tehdit araçlarının konuşlandırılması için kullanılıyor. AWS kimlik bilgilerinin başarıyla tanımlandığı ve güvenlik açığı bulunan web sitelerinde ele geçirildiği durumlarda, saldırganlar yeni kullanıcılar ve kullanıcı politikaları oluşturmaya çalıştı.

Üstelik Andoxgh0st operatörleri, yeni AWS bulut sunucularını başlatmak için çalınan kimlik bilgilerinden yararlanarak, devam eden operasyonlarının bir parçası olarak İnternet üzerindeki diğer savunmasız hedefleri taramalarına olanak tanıyor.

Potansiyel Andoxgh0st Kötü Amaçlı Yazılım Saldırıları Nasıl Önlenir?

Androxgh0st kötü amaçlı yazılım saldırılarının etkisini azaltmak ve tehlike riskini en aza indirmek için ağ savunucularına aşağıdaki önlemleri uygulamaları tavsiye edilir:

• Sistemleri Güncel Tutun : Tüm işletim sistemlerinin, yazılımların ve ürün yazılımlarının düzenli olarak güncellendiğinden emin olun. Özellikle Apache sunucularının 2.4.49 veya 2.4.50 sürümlerini çalıştırmadığını doğrulayın.
• URI Yapılandırması : Tüm Tekdüzen Kaynak Tanımlayıcıları (URI'ler) için varsayılan yapılandırmanın, özel ve haklı bir erişilebilirlik ihtiyacı olmadığı sürece tüm istekleri reddedecek şekilde ayarlandığını doğrulayın.
• Laravel Uygulama Ayarları : Canlı Laravel uygulamalarının 'hata ayıklama' veya test modunda olmadığından emin olun. Bulut kimlik bilgilerini .env dosyalarından kaldırın ve iptal edin. Önceden saklanan bulut kimlik bilgilerinin tek seferlik incelemesini gerçekleştirin ve kaldırılamayan diğer kimlik bilgisi türleri için sürekli incelemeler gerçekleştirin.
• Dosya Sistemi Taramaları : Sunucunun dosya sistemini, kök dizine ve /vendor/phpunit/phpunit/src/Util/PHP klasörüne özellikle dikkat ederek, tanınmayan PHP dosyaları açısından tarayın.
• Giden GET İstekleri : GitHub veya Pastebin gibi dosya barındırma sitelerine giden, özellikle cURL komutlarını kullananlar olmak üzere giden GET isteklerini inceleyin. İstek bir .php dosyasına eriştiğinde özellikle dikkatli olun.

CISA, Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğunu aktif istismar kanıtlarına dayanarak güncelledi. CVE-2018-15133 Laravel güvenilmeyen verinin seri durumdan çıkarılması güvenlik açığı eklenirken, CVE-2021-41773 Apache HTTP Sunucusu yol geçişi ve CVE-2017-9841 PHPUnit komut enjeksiyon güvenlik açıkları sırasıyla Kasım 2021 ve Şubat 2022'de dahil edildi. Bu eklemeler, Androxgh0st ile ilgili bilinen güvenlik açıklarına karşı farkındalığı artırmayı ve proaktif önlemleri hızlandırmayı amaçlıyor.