AndroxGh0st-Botnetz

CISA und das FBI haben gemeinsam eine Warnung vor den Aktivitäten von Bedrohungsakteuren herausgegeben, die die Androxgh0st-Malware nutzen und aktiv ein Botnetz mit besonderem Fokus auf den Diebstahl von Cloud-Anmeldeinformationen aufbauen. Diese böswilligen Akteure nutzen die gesammelten Informationen, um zusätzliche schädliche Nutzlasten einzusetzen. Das erstmals im Jahr 2022 von Cybersicherheitsforschern entdeckte Botnetz hatte zu diesem Zeitpunkt bereits die Kontrolle über mehr als 40.000 Geräte erlangt.

Der Modus Operandi dieses Botnetzes besteht darin, Websites und Server nach Schwachstellen zu durchsuchen, die für Remote Code Execution (RCE) anfällig sind. Insbesondere zielen die Bedrohungsakteure auf bestimmte Schwachstellen ab, nämlich CVE-2017-9841 (im Zusammenhang mit dem Unit-Testing-Framework PHPUnit), CVE-2021-41773 (im Zusammenhang mit dem Apache HTTP Server) und CVE-2018-15133 (im Zusammenhang mit Laravel). PHP-Webframework). Durch die Ausnutzung dieser Schwachstellen erleichtert die Androxgh0st-Malware unbefugten Zugriff und ermöglicht den Diebstahl von Cloud-Zugangsdaten, was ein erhebliches Cybersicherheitsrisiko darstellt.

Die AndroxGh0st-Malware zielt auf sensible Daten auf angegriffenen Geräten ab

Androxgh0st, eine Python-Skript-Malware, zielt in erster Linie auf .env-Dateien ab, die vertrauliche Informationen speichern, darunter Anmeldeinformationen für hochkarätige Anwendungen wie Amazon Web Services (AWS), Microsoft Office 365, SendGrid und Twilio innerhalb des Laravel-Webanwendungs-Frameworks .

Diese Malware verfügt über verschiedene Funktionalitäten, die den Missbrauch des Simple Mail Transfer Protocol (SMTP) ermöglichen. Es kann offengelegte Anmeldeinformationen und Anwendungsprogrammierschnittstellen (APIs) scannen und ausnutzen sowie Web-Shells bereitstellen. Die Kompromittierung von Twilio- und SendGrid-Anmeldeinformationen ermöglicht es Bedrohungsakteuren, Spam-Kampagnen zu orchestrieren und sich als die angegriffenen Unternehmen auszugeben.

Abhängig von seiner Anwendung weist AndroxGh0st zwei Hauptfunktionen gegenüber erworbenen Anmeldeinformationen auf. Bei der häufiger beobachteten Variante wird das E-Mail-Versandlimit des kompromittierten Kontos überprüft, um festzustellen, ob es für Spam-Zwecke geeignet ist.

Die Angreifer haben auch die Erstellung gefälschter Seiten auf manipulierten Websites demonstriert und damit eine Hintertür für den Zugriff auf Datenbanken mit vertraulichen Informationen eingerichtet. Dieser Zugriff wird genutzt, um zusätzliche Bedrohungstools einzusetzen, die für ihren Betrieb von entscheidender Bedeutung sind. In Fällen, in denen AWS-Anmeldeinformationen auf anfälligen Websites erfolgreich identifiziert und kompromittiert wurden, haben die Angreifer versucht, neue Benutzer und Benutzerrichtlinien zu erstellen.

Darüber hinaus nutzen Andoxgh0st-Betreiber gestohlene Anmeldeinformationen, um neue AWS-Instanzen zu initiieren, sodass sie im Rahmen ihres laufenden Betriebs das Internet nach weiteren gefährdeten Zielen durchsuchen können.

Wie kann man potenzielle Andoxgh0st-Malware-Angriffe verhindern?

Um die Auswirkungen von Androxgh0st-Malware-Angriffen abzuschwächen und das Risiko einer Kompromittierung zu minimieren, wird Netzwerkverteidigern empfohlen, die folgenden Maßnahmen zu ergreifen:

• Halten Sie die Systeme auf dem neuesten Stand : Stellen Sie sicher, dass alle Betriebssysteme, Software und Firmware regelmäßig aktualisiert werden. Stellen Sie insbesondere sicher, dass auf den Apache-Servern nicht die Versionen 2.4.49 oder 2.4.50 ausgeführt werden.
• URI-Konfiguration : Bestätigen Sie, dass die Standardkonfiguration für alle Uniform Resource Identifiers (URIs) so eingestellt ist, dass alle Anfragen abgelehnt werden, es sei denn, es besteht ein spezifischer und begründeter Bedarf an Barrierefreiheit.
• Laravel-Anwendungseinstellungen : Stellen Sie sicher, dass sich alle Live-Laravel-Anwendungen nicht im „Debug“- oder Testmodus befinden. Entfernen Sie Cloud-Anmeldeinformationen aus .env-Dateien und widerrufen Sie sie. Führen Sie eine einmalige Überprüfung zuvor gespeicherter Cloud-Anmeldeinformationen durch und führen Sie fortlaufende Überprüfungen für andere Anmeldeinformationstypen durch, die nicht entfernt werden können.
• Dateisystem-Scans : Scannen Sie das Dateisystem des Servers nach nicht erkannten PHP-Dateien, mit besonderem Augenmerk auf das Stammverzeichnis und den Ordner /vendor/phpunit/phpunit/src/Util/PHP.
• Ausgehende GET-Anfragen : Überprüfen Sie ausgehende GET-Anfragen, insbesondere solche, die cURL-Befehle verwenden, an Datei-Hosting-Sites wie GitHub oder Pastebin. Seien Sie besonders vorsichtig, wenn die Anfrage auf eine .php-Datei zugreift.

CISA hat seinen Katalog bekannter ausgenutzter Sicherheitslücken auf der Grundlage von Beweisen für eine aktive Ausnutzung aktualisiert. Die Schwachstelle CVE-2018-15133 Laravel-Deserialisierung nicht vertrauenswürdiger Daten wurde hinzugefügt, während die Schwachstellen CVE-2021-41773 Apache HTTP Server Path Traversal und CVE-2017-9841 PHPUnit Command Injection Schwachstellen im November 2021 bzw. Februar 2022 hinzugefügt wurden. Diese Ergänzungen zielen darauf ab, das Bewusstsein zu schärfen und proaktive Maßnahmen gegen bekannte Schwachstellen im Zusammenhang mit Androxgh0st einzuleiten.