AndroxGh0st惡意軟件最初于2022年12月被報道。FBI和CISA聯合發布了安全公告,警告AndroxGh0st惡意軟件帶來的日益嚴重的威脅。該惡意軟件的運營商正在積極構建僵尸網絡,目的是進行憑證盜竊和建立后門訪問。


FBI和網絡安全與基礎設施安全局(CISA)發布了聯合網絡安全通報(CSA),顯示Androxgh0st惡意軟件運營商正試圖創建一個強大的僵尸網絡,用于目標網絡中的受害者識別和利用。


值得注意的是,AndroxGh0st惡意軟件最初于2022年12月被報道。此后,網絡犯罪分子繼續在同一家族中提供惡意軟件變體。值得注意的是,Legion惡意軟件就是這樣的一個例子,它以其憑證收集和短信劫持的能力而聞名。


根據該 通報,該惡意軟件的目標是包含敏感信息的.env文件,例如使用Python腳本技術的Amazon Web Services Inc.、Microsoft Office 365、SendGrid和Twilio等知名應用程序的云憑據。


Androxgh0st還支持濫用簡單郵件傳輸協議的功能,例如掃描/利用憑據。它利用Web應用程序和服務器中的漏洞,特別是那些使用Laravel框架和PHPUnit以及某些版本的Apache HTTP Server的漏洞。


威脅行為者一直在利用嚴重漏洞,例如CVE-2017-9841(允許通過PHPUnit遠程執行PHP代碼)和CVE-2021-41773(影響運行版本2.4.49或2.4.50的Apache Web服務器)。


Androxgh0st惡意軟件TTP涉及腳本、掃描和搜索具有特定漏洞的網站。威脅參與者利用CVE-2017-9841通過PHPUnit在易出錯的網站上遠程運行PHP代碼。


此外,具有暴露/vendor文件夾的網站容易受到對/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php統一資源標識符的惡意HTTP POST請求。威脅行為者使用Androxgh0st下載惡意文件并設置虛假頁面進行后門訪問,從而允許他們下載其他惡意文件并訪問數據庫。


Androxgh0st惡意軟件創建僵尸網絡,使用Laravel Web應用程序框架掃描和識別網站,確定域的root-level.env文件是否暴露。如果暴露,它們會向/.env URI發出GET請求,或使用包含發送到Web服務器的數據的POST變量發出POST請求。此方法用于調試模式下的網站,其中非生產網站暴露于互聯網。


成功的響應允許威脅行為者查找電子郵件和AWS帳戶等服務的用戶名、密碼和憑證。該惡意軟件可以訪問網站上的Laravel應用程序密鑰,使攻擊者能夠加密PHP代碼并將其作為跨站偽造請求(XSRF)令牌cookie中的值傳遞,從而允許通過CVE-2018遠程執行代碼和遠程文件上傳CVE-2018-15133漏洞。


關于CVE-2021-41773,Androxgh0st操作員掃描運行Apache HTTP Server版本2.4.49或2.4.50的易受攻擊的Web服務器,通過路徑遍歷攻擊識別根目錄之外的文件的統一資源定位器。他們可以獲取服務憑證、訪問敏感數據并進行惡意操作。據觀察,他們創建了新用戶和策略并進行了額外的掃描活動。


為了打擊惡意網絡活動,請優先修補面向互聯網的系統中被利用的漏洞,確保僅將必要的服務器和服務暴露于互聯網,并使用.env文件中列出的憑據檢查平臺/服務是否存在未經授權的訪問或使用。


為了深入了解最新的安全建議,我們聯系了Conversant Group首席執行官John A. Smith 。“CISA咨詢提供了非常有幫助的妥協指標。我們還建議,一分預防勝于一分治療——因為AndroxGh0st正在利用暴露的.env文件和未修補的漏洞,因此最好定期檢查和監控云環境中的任何暴露情況,并制定非常積極的策略用于帶外修補。”

網絡攻擊
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接