CISA y el FBI advirtieron hoy que los actores de amenazas que utilizan el malware Androxgh0st están creando una botnet centrada en el robo de credenciales en la nube y utilizando la información robada para entregar cargas útiles maliciosas adicionales.
Esta botnet fue detectada por primera vez por Lacework Labs en 2022 y controlaba más de 40.000 dispositivos hace casi un año, según datos de Fortiguard Labs.
Busca sitios web y servidores vulnerables a las siguientes vulnerabilidades de ejecución remota de código (RCE): CVE-2017-9841 (marco de prueba de unidad PHPUnit), CVE-2021-41773 (servidor HTTP Apache) y CVE-2018-15133 (Laravel PHP). marco web).
“Androxgh0st es un malware escrito en Python que se utiliza principalmente para atacar archivos .env que contienen información confidencial, como credenciales para varias aplicaciones de alto perfil (es decir, Amazon Web Services [AWS], Microsoft Office 365, SendGrid y Twilio de la web Laravel). marco de aplicación),” advirtieron las dos agencias .
“El malware Androxgh0st también admite numerosas funciones capaces de abusar del Protocolo simple de transferencia de correo (SMTP), como escanear y explotar credenciales expuestas e interfaces de programación de aplicaciones (API) e implementación de shell web”.
Los actores de amenazas pueden utilizar las credenciales robadas de Twilio y SendGrid para realizar campañas de spam haciéndose pasar por las empresas violadas.
“Dependiendo del uso, AndroxGh0st puede realizar una de dos funciones principales contra las credenciales adquiridas. La más comúnmente observada es verificar el límite de envío de correo electrónico de la cuenta para evaluar si se puede aprovechar para enviar spam”, según Lacework.
También se ha observado que los atacantes crean páginas falsas en sitios web comprometidos, proporcionándoles una puerta trasera para acceder a bases de datos que contienen información confidencial e implementar más herramientas maliciosas vitales para sus operaciones.
Después de identificar y comprometer con éxito las credenciales de AWS en un sitio web vulnerable, también intentaron crear nuevos usuarios y políticas de usuario.
Además, los operadores de Andoxgh0st utilizan credenciales robadas para crear nuevas instancias de AWS para escanear objetivos vulnerables adicionales en Internet.
El FBI y CISA aconsejan a los defensores de la red que implementen las siguientes medidas de mitigación para limitar el impacto de los ataques de malware Androxgh0st y reducir el riesgo de compromiso:
- Mantenga todos los sistemas operativos, software y firmware actualizados. Específicamente, asegúrese de que los servidores Apache no estén ejecutando las versiones 2.4.49 o 2.4.50.
- Verifique que la configuración predeterminada para todos los URI sea denegar todas las solicitudes a menos que exista una necesidad específica de que sea accesible.
- Asegúrese de que las aplicaciones Laravel activas no estén en modo de “depuración” o de prueba. Elimine todas las credenciales de la nube de los archivos .env y revoquelas.
- De forma única para las credenciales de la nube previamente almacenadas y de forma continua para otros tipos de credenciales que no se pueden eliminar, revise cualquier plataforma o servicio que tenga credenciales enumeradas en el archivo .env para detectar acceso o uso no autorizado.
- Escanee el sistema de archivos del servidor en busca de archivos PHP no reconocidos, particularmente en el directorio raíz o en la carpeta /vendor/phpunit/phpunit/src/Util/PHP.
- Revise las solicitudes GET salientes (mediante el comando cURL) a sitios de alojamiento de archivos como GitHub, Pastebin, etc., particularmente cuando la solicitud accede a un archivo .php.
El FBI también solicitó información sobre el malware Androxgh0st a organizaciones que detectan actividades sospechosas o delictivas vinculadas a esta amenaza.
CISA agregó hoy la deserialización de Laravel CVE-2018-15133 de la vulnerabilidad de datos no confiables a su Catálogo de vulnerabilidades explotadas conocidas basándose en esta evidencia de explotación activa.
La agencia de ciberseguridad estadounidense también ordenó a las agencias federales que protegieran sus sistemas contra estos ataques antes del 6 de febrero.
Las vulnerabilidades de recorrido de ruta del servidor HTTP Apache CVE-2021-41773 y de inyección de comando PHPUnit CVE-2017-9841 se agregaron al catálogo en noviembre de 2021 y febrero de 2022, respectivamente.
Fuente: bleepingcomputer