Ботнет AndroxGh0st

CISA та ФБР спільно випустили попередження щодо діяльності зловмисників, які використовують зловмисне програмне забезпечення Androxgh0st, які активно створюють ботнет, зосереджуючись на крадіжці облікових даних у хмарі. Ці зловмисники використовують зібрану інформацію для розгортання додаткового шкідливого корисного навантаження. Вперше виявлений дослідниками кібербезпеки у 2022 році, цей ботнет уже отримав контроль над понад 40 000 пристроїв на той час.

Принцип дії цього ботнету передбачає сканування на наявність уразливостей на веб-сайтах і серверах, чутливих до віддаленого виконання коду (RCE). Примітно, що суб’єкти загрози націлені на конкретні вразливості, а саме CVE-2017-9841 (пов’язана зі структурою модульного тестування PHPUnit), CVE-2021-41773 (пов’язана з HTTP-сервером Apache) і CVE-2018-15133 (пов’язана з Laravel). веб-фреймворк PHP). Використовуючи ці вразливості, зловмисне програмне забезпечення Androxgh0st сприяє несанкціонованому доступу та крадіжці облікових даних хмари, створюючи значний ризик для кібербезпеки.

Зловмисне програмне забезпечення AndroxGh0st націлено на конфіденційні дані на зламаних пристроях

Androxgh0st, зловмисне програмне забезпечення зі сценарієм Python, призначене в основному для націлювання на файли .env, які зберігають конфіденційну інформацію, включно з обліковими даними для високопрофільних додатків, таких як Amazon Web Services (AWS), Microsoft Office 365, SendGrid і Twilio в рамках веб-додатку Laravel. .

Це зловмисне програмне забезпечення може похвалитися різними функціями, що дозволяє зловживати простим протоколом передачі пошти (SMTP). Він може сканувати та використовувати відкриті облікові дані та інтерфейси програмування додатків (API), а також розгортати веб-оболонки. Компрометація облікових даних Twilio та SendGrid дозволяє зловмисникам організовувати спам-кампанії, видаючи себе за зламані компанії.

Залежно від застосування AndroxGh0st демонструє дві основні функції щодо отриманих облікових даних. Частіше спостерігається перевірка ліміту надсилання електронної пошти зламаного облікового запису, щоб визначити його придатність для розсилання спаму.

Зловмисники також продемонстрували створення підроблених сторінок на скомпрометованих веб-сайтах, встановивши бекдор для доступу до баз даних, що містять конфіденційну інформацію. Цей доступ використовується для розгортання додаткових загрозливих інструментів, важливих для їхніх операцій. У випадках, коли облікові дані AWS успішно ідентифіковано та скомпрометовано на вразливих веб-сайтах, зловмисники намагалися створити нових користувачів і політику користувачів.

Крім того, оператори Andoxgh0st використовують викрадені облікові дані, щоб ініціювати нові екземпляри AWS, що дозволяє їм сканувати додаткові вразливі цілі в Інтернеті в рамках своїх поточних операцій.

Як запобігти потенційним атакам шкідливих програм Andoxgh0st?

Щоб пом’якшити наслідки атак зловмисного програмного забезпечення Androxgh0st і мінімізувати ризик компрометації, захисникам мережі рекомендується вжити таких заходів:

• Оновлюйте системи : переконайтеся, що всі операційні системи, програмне забезпечення та мікропрограми регулярно оновлюються. Зокрема, переконайтеся, що на серверах Apache не працюють версії 2.4.49 або 2.4.50.
• Конфігурація URI : переконайтеся, що конфігурація за замовчуванням для всіх уніфікованих ідентифікаторів ресурсів (URI) налаштована на відхилення всіх запитів, якщо немає конкретної та обґрунтованої потреби в доступності.
• Налаштування програми Laravel : переконайтеся, що будь-які активні програми Laravel не перебувають у режимі налагодження чи тестування. Видаліть хмарні облікові дані з файлів .env і анулюйте їх. Виконайте одноразову перевірку раніше збережених облікових даних у хмарі та проводите постійні перевірки інших типів облікових даних, які неможливо видалити.
• Сканування файлової системи : сканування файлової системи сервера на наявність нерозпізнаних файлів PHP, приділяючи особливу увагу кореневому каталогу та папці /vendor/phpunit/phpunit/src/Util/PHP.
• Вихідні GET-запити : переглядайте вихідні GET-запити, особливо ті, що використовують команди cURL, до сайтів розміщення файлів, таких як GitHub або Pastebin. Зверніть особливу увагу, коли запит звертається до файлу .php.

CISA оновила свій каталог відомих використаних уразливостей на основі доказів активного використання. Було додано вразливість CVE-2018-15133 десеріалізації ненадійних даних у Laravel, тоді як уразливості CVE-2021-41773 Apache HTTP Traversal та ін’єкції команди PHPUnit CVE-2017-9841 були включені в листопаді 2021 року та лютому 2022 року відповідно. Ці доповнення спрямовані на підвищення обізнаності та швидке вжиття профілактичних заходів проти відомих уразливостей, пов’язаних з Androxgh0st.