CISA ve FBI bugün, AndroxGH0ST kötü amaçlı yazılımları kullanan tehdit aktörlerinin bulut kimlik hırsızlığı üzerine odaklanmış bir botnet inşa ettikleri ve ek kötü amaçlı yükler sunmak için çalınan bilgileri kullandıkları konusunda uyardı.
Fortiguard Labs verilerine göre, bu botnet ilk olarak 2022'de Lacework Labs tarafından tespit edildi ve neredeyse bir yıl önce 40.000'den fazla cihazı kontrol ediyordu.
Web siteleri ve sunucular için aşağıdaki uzaktan kumanda yürütme (RCE) güvenlik açıklarına karşı savunmasız tarar: CVE-2017-9841 (PHPUNIT birimi test çerçevesi), CVE-2021-41773 (Apache HTTP Sunucusu) ve CVE-2018-15133 (Laravel PHP web çerçevesi).
"AndroxGH0ST, öncelikle çeşitli yüksek profilli uygulamalar için kimlik bilgileri (Amazon Web Services [AWS], Microsoft Office 365, Sendgrid ve Laravel Web'den Twilio gibi gizli bilgiler içeren .Env dosyalarını hedeflemek için kullanılan bir python yazılı kötü amaçlı yazılımdır. uygulama çerçevesi), "iki ajans uyarıda bulundu.
"AndroxGH0ST kötü amaçlı yazılımı, açık olan kimlik bilgilerini ve uygulama programlama arayüzlerini (API) ve web kabuğu dağıtımını tarama ve kullanma gibi basit posta aktarım protokolünü (SMTP) kötüye kullanma yeteneğine sahip çok sayıda işlevi de destekler."
Çalıntı Twilio ve Sendgrid kimlik bilgileri, tehdit aktörleri tarafından ihlal edilen şirketleri taklit eden spam kampanyaları yürütmek için kullanılabilir.
"Kullanıma bağlı olarak, AndroxGH0ST, elde edilen kimlik bilgilerine karşı iki ana işlevden birini gerçekleştirebilir. Bunlardan en yaygın olarak gözlemlenen, hesap için e -posta gönderme sınırını spam için kaldırılabileceğini değerlendirmek için kontrol etmektir."
Saldırganlar ayrıca, tehlikeye atılan web sitelerinde sahte sayfalar oluşturduğu ve hassas bilgiler içeren veritabanlarına erişmek ve operasyonları için hayati önem taşıyan daha kötü amaçlı araçlar dağıtmak için bir arka kapı sağladığı gözlemlendi.
Savunmasız bir web sitesinde AWS kimlik bilgilerini başarıyla tanımladıktan ve tehlikeye attıktan sonra, yeni kullanıcılar ve kullanıcı politikaları oluşturmayı da denediler.
Ayrıca, AndoxGH0ST operatörleri, internette ek savunmasız hedefleri taramak için yeni AWS örneklerini döndürmek için çalıntı kimlik bilgilerini kullanırlar.
FBI ve CISA, ağ savunucularına AndroxGH0ST kötü amaçlı yazılım saldırılarının etkisini sınırlamak ve uzlaşma riskini azaltmak için aşağıdaki azaltma önlemlerini uygulamalarını tavsiye eder:
FBI ayrıca, bu tehdide bağlı şüpheli veya suç faaliyetlerini tespit eden kuruluşlardan AndroxGH0ST kötü amaçlı yazılım hakkında bilgi istedi.
CISA, bu aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıkları kataloğuna güvenilmeyen veri kırılganlığının CVE-2018-15133 laravel searalizasyonunu ekledi.
ABD Siber Güvenlik Ajansı ayrıca federal kurumlara 6 Şubat'a kadar bu saldırılara karşı sistemlerini güvence altına almalarını emretti.
CVE-2021-41773 Apache HTTP Sunucusu Yolu Traversal ve CVE-2017-9841 PHPUNIT komut enjeksiyon güvenlik açıkları, Kasım 2021 ve Şubat 2022'de sırasıyla kataloğa eklenmiştir.
Bigpanzi Botnet, kötü amaçlı yazılımlarla 170.000 Android TV kutusuna bulaştı
QNAP VIOSTOR NVR Güvenlik Açığı Aktif olarak Malware Botnet tarafından sömürüldü
P2Pinfect kötü amaçlı yazılım hedefleri MIPS cihazlarının daha kapsamlı sürümü
Microsoft: İranlı hackerlar yeni Mediapl kötü amaçlı yazılımları ile araştırmacıları hedefleyin
Büyüleyici kedi hackerları macOS için yeni 'Noknok' kötü amaçlı yazılım kullanıyor
Kaynak: Bleeping Computer