Botnet AndroxGh0st

La CISA et le FBI ont émis conjointement un avertissement concernant les activités des acteurs malveillants utilisant le malware Androxgh0st, qui construisent activement un botnet axé spécifiquement sur le vol d'informations d'identification cloud. Ces acteurs malveillants exploitent les informations collectées pour déployer des charges utiles nuisibles supplémentaires. Détecté initialement par des chercheurs en cybersécurité en 2022, ce botnet avait déjà pris le contrôle de plus de 40 000 appareils à cette époque.

Le mode opératoire de ce botnet consiste à rechercher les vulnérabilités des sites Web et des serveurs susceptibles d'être exécutés à distance (RCE). Les auteurs de la menace ciblent notamment des vulnérabilités spécifiques, à savoir CVE-2017-9841 (associée au framework de tests unitaires PHPUnit), CVE-2021-41773 (liée au serveur HTTP Apache) et CVE-2018-15133 (liée au serveur Laravel). Framework Web PHP). En exploitant ces vulnérabilités, le malware Androxgh0st facilite les accès non autorisés et permet le vol d'informations d'identification cloud, posant ainsi un risque de cybersécurité important.

Le logiciel malveillant AndroxGh0st cible les données sensibles sur les appareils piratés

Androxgh0st, un malware scripté en Python, est principalement conçu pour cibler les fichiers .env qui stockent des informations confidentielles, y compris les informations d'identification d'applications de haut niveau telles que Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio dans le cadre d'applications Web Laravel. .

Ce malware possède diverses fonctionnalités, permettant d'abuser du Simple Mail Transfer Protocol (SMTP). Il peut analyser et exploiter les informations d'identification exposées et les interfaces de programmation d'application (API), ainsi que déployer des shells Web. La compromission des informations d'identification Twilio et SendGrid permet aux acteurs malveillants d'orchestrer des campagnes de spam, en se faisant passer pour les entreprises violées.

Selon son application, AndroxGh0st présente deux fonctions principales par rapport aux informations d'identification acquises. Le plus fréquemment observé consiste à vérifier la limite d’envoi d’e-mails du compte compromis pour déterminer son adéquation à des fins de spam.

Les attaquants ont également démontré la création de fausses pages sur des sites Web compromis, établissant une porte dérobée permettant d'accéder à des bases de données contenant des informations sensibles. Cet accès est utilisé pour déployer des outils menaçants supplémentaires essentiels à leurs opérations. Dans les cas où les informations d'identification AWS sont identifiées et compromises avec succès sur des sites Web vulnérables, les attaquants ont tenté de créer de nouveaux utilisateurs et de nouvelles politiques utilisateur.

De plus, les opérateurs d'Andoxgh0st exploitent les informations d'identification volées pour lancer de nouvelles instances AWS, leur permettant ainsi de rechercher des cibles vulnérables supplémentaires sur Internet dans le cadre de leurs opérations en cours.

Comment prévenir les attaques potentielles de logiciels malveillants Andoxgh0st ?

Pour atténuer l'impact des attaques de logiciels malveillants Androxgh0st et minimiser le risque de compromission, il est conseillé aux défenseurs du réseau de mettre en œuvre les mesures suivantes :

• Maintenir les systèmes à jour : assurez-vous que tous les systèmes d'exploitation, logiciels et micrologiciels sont régulièrement mis à jour. Plus précisément, vérifiez que les serveurs Apache n'exécutent pas les versions 2.4.49 ou 2.4.50.
• Configuration de l'URI : confirmez que la configuration par défaut de tous les identifiants de ressources uniformes (URI) est définie pour refuser toutes les demandes, sauf en cas de besoin spécifique et justifié d'accessibilité.
• Paramètres de l'application Laravel : assurez-vous que les applications Laravel en direct ne sont pas en mode « débogage » ou test. Supprimez les informations d'identification cloud des fichiers .env et révoquez-les. Effectuez un examen unique des informations d'identification cloud précédemment stockées et effectuez des examens continus pour les autres types d'informations d'identification qui ne peuvent pas être supprimés.
• Analyses du système de fichiers : analysez le système de fichiers du serveur à la recherche de fichiers PHP non reconnus, avec une attention particulière au répertoire racine et au dossier /vendor/phpunit/phpunit/src/Util/PHP.
• Requêtes GET sortantes : examinez les requêtes GET sortantes, en particulier celles utilisant des commandes cURL, vers des sites d'hébergement de fichiers comme GitHub ou Pastebin. Soyez particulièrement attentif lorsque la requête accède à un fichier .php.

CISA a mis à jour son catalogue de vulnérabilités exploitées connues sur la base de preuves d'exploitation active. La vulnérabilité de désérialisation Laravel CVE-2018-15133 de données non fiables a été ajoutée, tandis que la traversée de chemin du serveur HTTP Apache CVE-2021-41773 et les vulnérabilités d'injection de commande PHPUnit CVE-2017-9841 ont été incluses en novembre 2021 et février 2022, respectivement. Ces ajouts visent à accroître la sensibilisation et à inciter à des mesures proactives contre les vulnérabilités connues associées à Androxgh0st.