AndroxGh0st ボットネット

CISA と FBI は共同で、Androxgh0st マルウェアを利用する攻撃者の活動に関して警告を発しました。攻撃者は、特にクラウド認証情報の盗難に重点を置いたボットネットを積極的に構築しています。これらの悪意のある攻撃者は、収集した情報を利用して、追加の有害なペイロードを展開します。このボットネットは 2022 年にサイバーセキュリティ研究者によって最初に検出され、その時点ですでに 40,000 台以上のデバイスを制御していました。

このボットネットの手口には、リモート コード実行 (RCE) の影響を受けやすい Web サイトやサーバーの脆弱性のスキャンが含まれます。特に、脅威アクターは特定の脆弱性、すなわち CVE-2017-9841 (PHPUnit 単体テスト フレームワークに関連)、CVE-2021-41773 (Apache HTTP サーバーに関連)、および CVE-2018-15133 (Laravel に関連) をターゲットとしています。 PHP Web フレームワーク)。 Androxgh0st マルウェアは、これらの脆弱性を悪用することで不正アクセスを助長し、クラウド認証情報の盗難を可能にし、重大なサイバーセキュリティ リスクを引き起こします。

AndroxGh0st マルウェアは、侵害されたデバイス上の機密データをターゲットにします

Python スクリプトのマルウェアである Androxgh0st は、主に、Laravel Web アプリケーション フレームワーク内のアマゾン ウェブ サービス (AWS)、Microsoft Office 365、SendGrid、Twilio などの注目度の高いアプリケーションの認証情報を含む機密情報を保存する .env ファイルをターゲットにするように設計されています。 。

このマルウェアはさまざまな機能を備えており、Simple Mail Transfer Protocol (SMTP) の悪用を可能にします。 Web シェルを展開するだけでなく、公開された資格情報やアプリケーション プログラミング インターフェイス (API) をスキャンして悪用することもできます。 Twilio と SendGrid の認証情報が侵害されると、攻撃者が侵害された企業になりすましてスパム キャンペーンを組織することが可能になります。

AndroxGh0st は、アプリケーションに応じて、取得した資格情報に対して 2 つの主要な機能を発揮します。より頻繁に観察されるのは、侵害されたアカウントの電子メール送信制限をチェックして、そのアカウントがスパム目的に適しているかどうかを判断することです。

攻撃者は、侵害された Web サイト上に偽のページを作成し、機密情報を含むデータベースにアクセスするためのバックドアを確立することも実証しました。このアクセスは、業務に不可欠な追加の脅威ツールを展開するために利用されます。脆弱な Web サイトで AWS 認証情報が特定され、侵害された場合、攻撃者は新しいユーザーとユーザー ポリシーを作成しようとします。

さらに、Andoxgh0st オペレーターは、盗んだ認証情報を利用して新しい AWS インスタンスを開始し、進行中の操作の一環としてインターネット全体で追加の脆弱なターゲットをスキャンできるようにします。

Andoxgh0st マルウェア攻撃の可能性を防ぐには?

Androxgh0st マルウェア攻撃の影響を軽減し、侵害のリスクを最小限に抑えるために、ネットワーク防御者は次の対策を実装することをお勧めします。

• システムを最新の状態に保つ: すべてのオペレーティング システム、ソフトウェア、ファームウェアが定期的に更新されていることを確認します。具体的には、Apache サーバーがバージョン 2.4.49 または 2.4.50 を実行していないことを確認します。
• URI 構成: すべての URI (Uniform Resource Identifier) のデフォルト構成が、アクセシビリティに対する特定の正当な必要性がない限り、すべての要求を拒否するように設定されていることを確認します。
• Laravel アプリケーション設定: ライブ Laravel アプリケーションが「デバッグ」モードまたはテスト モードになっていないことを確認します。 .env ファイルからクラウド認証情報を削除し、取り消します。以前に保存されたクラウド認証情報の 1 回限りのレビューを実行し、削除できない他の認証情報の種類については継続的にレビューを実行します。
• ファイル システム スキャン: ルート ディレクトリと /vendor/phpunit/phpunit/src/Util/PHP フォルダーに特に注意して、サーバーのファイル システムをスキャンして、認識されない PHP ファイルを探します。
• 送信 GET リクエスト: GitHub や Pastebin などのファイル ホスティング サイトへの送信 GET リクエスト、特に cURL コマンドを使用したリクエストを確認します。リクエストが .php ファイルにアクセスする場合は特に注意してください。

CISA は、積極的な悪用の証拠に基づいて、既知の悪用された脆弱性カタログを更新しました。 CVE-2018-15133 Laravel の信頼できないデータの逆シリアル化の脆弱性が追加され、CVE-2021-41773 Apache HTTP サーバーのパス トラバーサルと CVE-2017-9841 PHPUnit コマンド インジェクションの脆弱性がそれぞれ 2021 年 11 月と 2022 年 2 月に追加されました。これらの追加は、Androxgh0st に関連する既知の脆弱性に対する認識を高め、積極的な対策を促すことを目的としています。