Η CISA και το FBI προειδοποίησαν σήμερα ότι οι φορείς
απε
ιλών που χρησιμοποιούν κακόβουλο
λογισμικό
Androxgh0st δημιουργούν ένα botnet που εστιάζει στην κλοπή διαπιστευτηρίων στο
cloud
και χρησιμοποιεί τις κλεμμένες πληροφορίες για την παράδοση πρόσθετων κακόβουλων ωφέλιμων φορτίων.
Εντοπίστηκε για πρώτη φορά από
Lacework Labs το 2022
το botnet σαρώνει για ιστότοπους και διακομιστές χρησιμοποιώντας εκδόσεις του πλαισίου
δοκιμή
ς μονάδας PHPUnit, του πλαισίου ιστού PHP και του διακομιστή ιστού Apache με ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE).
Τα ελαττώματα RCE που στοχεύουν σε αυτές τις επιθέσεις περιλαμβάνουν
CVE-2017-9841
(PHPUunit),
CVE-2021-41773
(Διακομιστής HTTP Apache) και
CVE-2018-15133
(Laravel).
“Το Androxgh0st είναι ένα κακόβουλο λογισμικό σενάριο Python που χρησιμοποιείται κυρίως για τη στόχευση αρχείων .env που περιέχουν εμπιστευτικές πληροφορίες, όπως διαπιστευτήρια για διάφορες εφαρμογές υψηλού προφίλ (π.χ. Υπηρεσίες Ιστού της Amazon [AWS]Microsoft Office 365, SendGrid και Twilio από το πλαίσιο εφαρμογής web Laravel),” οι δύο εταιρείες
προειδοποίησε
.
“Το κακόβουλο λογισμικό Androxgh0st υποστηρίζει επίσης πολλές λειτουργίες που μπορούν να κάνουν κατάχρηση του πρωτοκόλλου απλής μεταφοράς αλληλογραφίας (SMTP), όπως η σάρωση και η εκμετάλλευση εκτεθειμένων διαπιστευτηρίων και διεπαφών προγραμματισμού εφαρμογών (API) και ανάπτυξη κελύφους ιστού.”
Τα κλεμμένα διαπιστευτήρια Twilio και SendGrid μπορούν να χρησιμοποιηθούν από τους φορείς απειλών για τη διεξαγωγή καμπανιών ανεπιθύμητης αλληλογραφίας που πλαστοπροσωπούν τις εταιρείες που παραβιάστηκαν.
“Ανάλογα με τη χρήση, το AndroxGh0st μπορεί να εκτελέσει μία από τις δύο κύριες λειτουργίες έναντι κεκτημένων διαπιστευτηρίων. Η πιο συχνά παρατηρούμενη από αυτές είναι να ελέγξει το όριο αποστολής email για τον λογαριασμό για να αξιολογήσει εάν μπορεί να χρησιμοποιηθεί για spamming”, σύμφωνα με τη Lacework.
Οι εισβολείς έχουν παρατηρηθεί να δημιουργούν ψεύτικες σελίδες σε παραβιασμένους ιστότοπους, παρέχοντάς τους μια κερκόπορτα για πρόσβαση σε βάσεις δεδομένων που περιέχουν ευαίσθητες πληροφορίες και για ανάπτυξη πιο κακόβουλων εργαλείων ζωτικής σημασίας για τις λειτουργίες τους.
Μετά τον επιτυχή εντοπισμό και παραβίαση των διαπιστευτηρίων AWS σε έναν ευάλωτο ιστότοπο, προσπάθησαν επίσης να δημιουργήσουν νέους χρήστες και πολιτικές χρηστών.
Επιπλέον, οι χειριστές Andoxgh0st χρησιμοποιούν κλεμμένα διαπιστευτήρια για την περιστροφή νέων παρουσιών AWS για σάρωση πρόσθετων ευάλωτων στόχων στο Διαδίκτυο.
Το FBI και η CISA συμβουλεύουν τους υπερασπιστές του δικτύου να εφαρμόσουν τα ακόλουθα μέτρα μετριασμού για να περιορίσουν τον αντίκτυπο των επιθέσεων κακόβουλου λογισμικού Androxgh0st και να μειώσουν τον κίνδυνο παραβίασης:
- Διατηρείτε ενημερωμένα όλα τα λειτουργικά συστήματα, το λογισμικό και το υλικολογισμικό. Συγκεκριμένα, βεβαιωθείτε ότι οι διακομιστές Apache δεν εκτελούν τις εκδόσεις 2.4.49 ή 2.4.50.
- Βεβαιωθείτε ότι η προεπιλεγμένη ρύθμιση παραμέτρων για όλα τα URI είναι η απόρριψη όλων των αιτημάτων, εκτός εάν υπάρχει συγκεκριμένη ανάγκη να είναι προσβάσιμο.
-
Βεβαιωθείτε ότι τυχόν ζωντανές εφαρμογές Laravel δεν βρίσκονται σε λειτουργία “debug” ή δοκιμής. Καταργήστε όλα τα διαπιστευτήρια cloud από
αρχεία
.env και ανακαλέστε τα. - Σε εφάπαξ βάση για προηγουμένως αποθηκευμένα διαπιστευτήρια cloud και σε συνεχή βάση για άλλους τύπους διαπιστευτηρίων που δεν μπορούν να αφαιρεθούν, ελέγξτε τυχόν πλατφόρμες ή υπηρεσίες που έχουν διαπιστευτήρια που αναφέρονται στο αρχείο .env για μη εξουσιοδοτημένη πρόσβαση ή χρήση.
- Σαρώστε το σύστημα αρχείων του διακομιστή για μη αναγνωρισμένα αρχεία PHP, ιδιαίτερα στον ριζικό κατάλογο ή στο φάκελο /vendor/phpunit/phpunit/src/Util/PHP.
- Ελέγξτε τα εξερχόμενα αιτήματα GET (μέσω της εντολής cURL) για τοποθεσίες φιλοξενίας αρχείων, όπως το GitHub, το pastebin, κ.λπ., ιδιαίτερα όταν το αίτημα αποκτά πρόσβαση σε ένα αρχείο .php.
Το FBI ζήτησε επίσης πληροφορίες για το κακόβουλο λογισμικό Androxgh0st από οργανισμούς που εντοπίζουν ύποπτες ή εγκληματικές δραστηριότητες που συνδέονται με αυτήν την απειλή.
Η CISA πρόσθεσε το CVE-2018-15133 Laravel deserialization της ευπάθειας μη αξιόπιστων δεδομένων στο
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
σήμερα με βάση αυτά τα στοιχεία ενεργητικής εκμετάλλευσης.
Η αμερικανική υπηρεσία κυβερνοασφάλειας διέταξε επίσης τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα συστήματά τους από αυτές τις επιθέσεις έως τις 6 Φεβρουαρίου.
Οι ευπάθειες CVE-2021-41773 Apache HTTP Server Traversal και CVE-2017-9841 PHPUnit injection εντολής έχουν προστεθεί στον κατάλογο τον Νοέμβριο του 2021 και τον Φεβρουάριο του 2022, αντίστοιχα.
VIA:
bleepingcomputer.com
