Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Malware Botnet AndroxGh0st

Botnet AndroxGh0st

Đến năm Mezo năm Malware, Botnets
Dịch sang:
Tiếng Việt Nam

CISA và FBI đã cùng đưa ra cảnh báo liên quan đến hoạt động của những kẻ đe dọa sử dụng phần mềm độc hại Androxgh0st, những kẻ đang tích cực xây dựng một mạng botnet với trọng tâm cụ thể là đánh cắp thông tin xác thực trên đám mây. Những kẻ ác độc này lợi dụng thông tin thu thập được để triển khai thêm các tải trọng có hại. Được các nhà nghiên cứu an ninh mạng phát hiện lần đầu tiên vào năm 2022, mạng botnet này đã giành được quyền kiểm soát hơn 40.000 thiết bị vào thời điểm đó.

Phương thức hoạt động của mạng botnet này bao gồm việc quét các lỗ hổng trong các trang web và máy chủ dễ bị thực thi mã từ xa (RCE). Đáng chú ý, các tác nhân đe dọa nhắm vào các lỗ hổng cụ thể, cụ thể là CVE-2017-9841 (được liên kết với khung thử nghiệm đơn vị PHPUnit), CVE-2021-41773 (được liên kết với Máy chủ HTTP Apache) và CVE-2018-15133 (liên quan đến Laravel Khung web PHP). Bằng cách khai thác các lỗ hổng này, phần mềm độc hại Androxgh0st tạo điều kiện cho việc truy cập trái phép và cho phép đánh cắp thông tin xác thực trên đám mây, gây ra rủi ro an ninh mạng đáng kể.

Phần mềm độc hại AndroxGh0st nhắm mục tiêu dữ liệu nhạy cảm trên các thiết bị bị vi phạm

Androxgh0st, một phần mềm độc hại có kịch bản Python, được thiết kế chủ yếu để nhắm mục tiêu các tệp .env lưu trữ thông tin bí mật, bao gồm thông tin xác thực cho các ứng dụng cấu hình cao như Amazon Web Services (AWS), Microsoft Office 365, SendGrid và Twilio trong khung ứng dụng Web Laravel .

Phần mềm độc hại này có nhiều chức năng khác nhau, cho phép lạm dụng Giao thức truyền thư đơn giản (SMTP). Nó có thể quét và khai thác các thông tin xác thực bị lộ và các giao diện lập trình ứng dụng (API), cũng như triển khai các Web shell. Việc xâm phạm thông tin xác thực Twilio và SendGrid cho phép các tác nhân đe dọa dàn dựng các chiến dịch thư rác, mạo danh các công ty bị vi phạm.

Tùy thuộc vào ứng dụng của nó, AndroxGh0st thể hiện hai chức năng chính đối với thông tin xác thực có được. Điều được quan sát thường xuyên hơn liên quan đến việc kiểm tra giới hạn gửi email của tài khoản bị xâm nhập để xác định tính phù hợp của tài khoản đó cho mục đích gửi thư rác.

Những kẻ tấn công cũng đã chứng minh việc tạo các trang giả mạo trên các trang web bị xâm nhập, thiết lập một cửa sau để truy cập cơ sở dữ liệu chứa thông tin nhạy cảm. Quyền truy cập này được sử dụng để triển khai các công cụ đe dọa bổ sung quan trọng cho hoạt động của họ. Trong trường hợp thông tin đăng nhập AWS được xác định và xâm phạm thành công trên các trang web dễ bị tấn công, những kẻ tấn công đã cố gắng tạo người dùng và chính sách người dùng mới.

Hơn nữa, các nhà khai thác Andoxgh0st tận dụng thông tin đăng nhập bị đánh cắp để khởi tạo các phiên bản AWS mới, cho phép họ quét các mục tiêu dễ bị tổn thương bổ sung trên Internet như một phần trong hoạt động đang diễn ra của họ.

Làm cách nào để ngăn chặn các cuộc tấn công phần mềm độc hại Andoxgh0st tiềm ẩn?

Để giảm thiểu tác động của các cuộc tấn công bằng phần mềm độc hại Androxgh0st và giảm thiểu nguy cơ bị xâm phạm, những người bảo vệ mạng nên thực hiện các biện pháp sau:

  • Luôn cập nhật hệ thống : Đảm bảo rằng tất cả hệ điều hành, phần mềm và chương trình cơ sở đều được cập nhật thường xuyên. Cụ thể, hãy xác minh rằng máy chủ Apache không chạy phiên bản 2.4.49 hoặc 2.4.50.
  • Cấu hình URI : Xác nhận rằng cấu hình mặc định cho tất cả Mã định danh tài nguyên thống nhất (URI) được đặt để từ chối tất cả các yêu cầu trừ khi có nhu cầu cụ thể và chính đáng về khả năng truy cập.
  • Cài đặt ứng dụng Laravel : Đảm bảo rằng mọi ứng dụng Laravel đang hoạt động không ở chế độ 'gỡ lỗi' hoặc thử nghiệm. Xóa thông tin đăng nhập trên đám mây khỏi tệp .env và thu hồi chúng. Thực hiện đánh giá một lần đối với thông tin xác thực trên đám mây đã lưu trữ trước đó và tiến hành đánh giá liên tục đối với các loại thông tin xác thực khác không thể xóa được.
  • Quét hệ thống tệp : Quét hệ thống tệp của máy chủ để tìm các tệp PHP không được nhận dạng, đặc biệt chú ý đến thư mục gốc và thư mục /vendor/phpunit/phpunit/src/Util/PHP.
  • Yêu cầu GET gửi đi : Xem xét các yêu cầu GET gửi đi, đặc biệt là những yêu cầu sử dụng lệnh cURL, tới các trang web lưu trữ tệp như GitHub hoặc Pastebin. Đặc biệt chú ý khi yêu cầu truy cập tệp .php.

CISA đã cập nhật Danh mục lỗ hổng bị khai thác đã biết dựa trên bằng chứng về việc khai thác tích cực. Đã bổ sung thêm lỗ hổng CVE-2018-15133 Laravel deserialization của dữ liệu không đáng tin cậy, trong khi tính năng truyền tải đường dẫn của Máy chủ HTTP CVE-2021-41773 Apache và lỗ hổng chèn lệnh CVE-2017-9841 PHPUnit lần lượt được đưa vào vào tháng 11 năm 2021 và tháng 2 năm 2022. Những bổ sung này nhằm mục đích nâng cao nhận thức và nhắc nhở các biện pháp chủ động chống lại các lỗ hổng đã biết liên quan đến Androxgh0st.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
29,254
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...