Multi-License Discount Quote
Base de Datos de Amenazas Malware Red de bots AndroxGh0st

Red de bots AndroxGh0st

Por Mezo en Malware, Botnets
Traducir a:
Español

CISA y el FBI han emitido conjuntamente una advertencia sobre las actividades de los actores de amenazas que utilizan el malware Androxgh0st, que están construyendo activamente una botnet con un enfoque específico en el robo de credenciales de la nube. Estos actores malévolos aprovechan la información recopilada para desplegar cargas útiles dañinas adicionales. Detectada inicialmente por investigadores de ciberseguridad en 2022, esta botnet ya había controlado más de 40.000 dispositivos en ese momento.

El modus operandi de esta botnet implica buscar vulnerabilidades en sitios web y servidores susceptibles a la ejecución remota de código (RCE). En particular, los actores de amenazas apuntan a vulnerabilidades específicas, a saber, CVE-2017-9841 (asociada con el marco de prueba unitario PHPUnit), CVE-2021-41773 (vinculada al servidor HTTP Apache) y CVE-2018-15133 (relacionada con Laravel). Marco web PHP). Al explotar estas vulnerabilidades, el malware Androxgh0st facilita el acceso no autorizado y permite el robo de credenciales de la nube, lo que representa un importante riesgo de ciberseguridad.

El malware AndroxGh0st apunta a datos confidenciales en dispositivos vulnerados

Androxgh0st, un malware escrito en Python, está diseñado principalmente para atacar archivos .env que almacenan información confidencial, incluidas credenciales para aplicaciones de alto perfil como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio dentro del marco de la aplicación web Laravel. .

Este malware cuenta con varias funcionalidades que permiten el abuso del Protocolo simple de transferencia de correo (SMTP). Puede escanear y explotar credenciales e interfaces de programación de aplicaciones (API) expuestas, así como implementar shells web. El compromiso de las credenciales de Twilio y SendGrid permite a los actores de amenazas orquestar campañas de spam, haciéndose pasar por las empresas atacadas.

Dependiendo de su aplicación, AndroxGh0st exhibe dos funciones principales frente a las credenciales adquiridas. El que se observa con más frecuencia implica verificar el límite de envío de correo electrónico de la cuenta comprometida para determinar si es adecuada para fines de spam.

Los atacantes también han demostrado la creación de páginas falsas en sitios web comprometidos, estableciendo una puerta trasera para acceder a bases de datos que contienen información confidencial. Este acceso se utiliza para implementar herramientas amenazantes adicionales cruciales para sus operaciones. En los casos en que las credenciales de AWS se identifican con éxito y se ven comprometidas en sitios web vulnerables, los atacantes han intentado crear nuevos usuarios y políticas de usuario.

Además, los operadores de Andoxgh0st aprovechan las credenciales robadas para iniciar nuevas instancias de AWS, lo que les permite buscar objetivos vulnerables adicionales en Internet como parte de sus operaciones en curso.

¿Cómo prevenir posibles ataques de malware Andoxgh0st?

Para mitigar el impacto de los ataques de malware Androxgh0st y minimizar el riesgo de compromiso, se recomienda a los defensores de la red que implementen las siguientes medidas:

  • Mantenga los sistemas actualizados : asegúrese de que todos los sistemas operativos, software y firmware se actualicen periódicamente. Específicamente, verifique que los servidores Apache no estén ejecutando las versiones 2.4.49 o 2.4.50.
  • Configuración de URI : confirme que la configuración predeterminada para todos los identificadores uniformes de recursos (URI) esté configurada para denegar todas las solicitudes a menos que exista una necesidad de accesibilidad específica y justificada.
  • Configuración de la aplicación Laravel : asegúrese de que las aplicaciones Laravel activas no estén en modo de "depuración" o de prueba. Elimine las credenciales de la nube de los archivos .env y revoquelas. Realice una revisión única de las credenciales en la nube previamente almacenadas y realice revisiones continuas para otros tipos de credenciales que no se pueden eliminar.
  • Escaneos del sistema de archivos : escanea el sistema de archivos del servidor en busca de archivos PHP no reconocidos, con especial atención al directorio raíz y a la carpeta /vendor/phpunit/phpunit/src/Util/PHP.
  • Solicitudes GET salientes : revise las solicitudes GET salientes, especialmente aquellas que usan comandos cURL, a sitios de alojamiento de archivos como GitHub o Pastebin. Preste especial atención cuando la solicitud acceda a un archivo .php.

CISA ha actualizado su Catálogo de vulnerabilidades explotadas conocidas en función de la evidencia de explotación activa. Se agregó la vulnerabilidad de deserialización de datos no confiables de Laravel CVE-2018-15133, mientras que las vulnerabilidades de recorrido de ruta del servidor HTTP Apache CVE-2021-41773 y las vulnerabilidades de inyección de comando PHPUnit CVE-2017-9841 se incluyeron en noviembre de 2021 y febrero de 2022, respectivamente. Estas adiciones tienen como objetivo mejorar la concientización e impulsar medidas proactivas contra las vulnerabilidades conocidas asociadas con Androxgh0st.

Tendencias

Mas Visto

Cargando...