CISA i FBI upozorili su danas da hakeri koji koriste malver Androxgh0st grade botnet fokusiran na krađu kredencijala u oblaku i koriste ukradene informacije za isporuku dodatnih payload-a.
Botnet je prvi uočio Lacework Labs 2022. godine i tada je botnet kontrolisao preko 40.000 uređaja, prema podacima Fortiguard Labsa.
On skenira web stranice i servere koji su ranjivi na sljedeće ranjivosti daljinskog izvršavanja koda (RCE): CVE-2017-9841 (PHPUnit okvir za testiranje jedinica), CVE-2021-41773 (Apache HTTP server) i CVE-2018-15133 (Laravel PHP). web framework).
“Androxgh0st je malver skriptiran u Pythonu koji se prvenstveno koristi za ciljanje .env datoteka koje sadrže povjerljive informacije, kao što su kredencijali za različite aplikacije visokog profila (tj. Amazon Web Services [AWS], Microsoft Office 365, SendGrid i Twilio sa Laravel framework-a web aplikacija),” upozorile su dvije agencije.
“Androxgh0st malver također podržava brojne funkcije koje mogu zloupotrijebiti Simple Mail Transfer Protocol (SMTP), kao što su skeniranje i iskorištavanje otkrivenih kredencijala i interfejsa za programiranje aplikacija (API) i implementacija web shell-a.”
Ukradene Twilio i SendGrid kredencijale mogu koristiti hakeri za vođenje spam kampanja koje se lažno predstavljaju kao već provaljene kompanije.
“U zavisnosti od upotrebe, AndroxGh0st može obavljati jednu od dvije primarne funkcije u odnosu na stečene kredencijale. Najčešća od njih je provjera ograničenja slanja e-pošte za račun kako bi se procijenilo može li se iskoristiti za neželjenu poštu”, navodi Lacework.
Napadači su takođe primijećeni kako kreiraju lažne stranice na kompromitovanim web stranicama, dajući im backdoor za pristup bazama podataka koje sadrže osjetljive informacije i primjenjuju više zlonamjernih alata vitalnih za njihove operacije.
Nakon što su uspješno identifikovali i kompromitovali AWS kredencijale na ranjivoj web stranici, pokušali su i kreirati nove korisnike i korisnička pravila.
Nadalje, Andoxgh0st operateri koriste ukradene kredencijale za pokretanje novih AWS instanci za skeniranje dodatnih ranjivih ciljeva širom interneta.
FBI i CISA savjetuju zaštitnike mreže da implementiraju sljedeće mjere ublažavanja kako bi ograničili utjecaj Androxgh0st malver napada i smanjili rizik od kompromitacije:
- Održavajte sve operativne sisteme, softver i firmver ažurnim. Konkretno, uvjerite se da Apache serveri ne koriste verzije 2.4.49 ili 2.4.50.
- Provjerite je li zadana konfiguracija za sve URI-je odbijanje svih zahtjeva osim ako postoji posebna potreba da im se pristupi.
- Uvjerite se da sve Laravel aplikacije uživo nisu u modu „debug“ ili testiranja. Uklonite sve kredencijale u oblaku iz .env datoteka i opozovite ih.
- Jednokratno za prethodno pohranjene kredencijale u oblaku i na stalnoj osnovi za druge vrste kredencijala koje se ne mogu ukloniti, pregledajte sve platforme ili usluge koje imaju kredencijale navedene u .env datoteci za neovlašteni pristup ili korištenje.
- Skenirajte fajl sistem servera za neprepoznate PHP datoteke, posebno u root direktoriju ili /vendor/phpunit/phpunit/src/Util/PHP folderu.
- Pregledajte odlazne GET zahtjeve (preko cURL komande) za web lokacije za hostovanje datoteka kao što su GitHub, pastebin, itd., posebno kada zahtjev pristupa .php datoteci.
FBI je takođe tražio informacije o Androxgh0st malveru od organizacija koje otkrivaju sumnjive ili kriminalne aktivnosti povezane s ovom prijetnjom.
CISA je danas dodala CVE-2018-15133 Laravel deserializaciju ranjivosti nepouzdanih podataka u svoj Katalog poznatih eksploatisanih ranjivosti na osnovu ovog dokaza o aktivnoj eksploataciji.
Američka agencija za sajber bezbjednost također je naredila federalnim agencijama da do 6. februara osiguraju svoje sisteme od ovih napada.
CVE-2021-41773 Apache HTTP server traversal traversal paths i CVE-2017-9841 PHPUnit ranjivost ubrizgavanja komande dodane su u katalog u novembru 2021. i februaru 2022., respektivno.
Izvor: BleepingComputer