Tehdit aktörleri, çeşitli yasa dışı faaliyetler gerçekleştirmelerine olanak tanıyan, güvenliği ihlal edilmiş sistemlerden oluşan ağa erişim sağlamak için botnet kötü amaçlı yazılımını kullanır.
Dağıtılmış ve anonim altyapısı nedeniyle botnet kötü amaçlı yazılımlarının ilgisini çekiyor, bu da onu gizli ve karmaşık kılıyor.
Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda bilgisayar korsanlarının AWS ve Microsoft kimlik bilgilerini çalan Androxgh0st botnet kötü amaçlı yazılımını aktif olarak dağıttıklarını keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Androxgh0st Botnet Kötü Amaçlı Yazılımı
Androxgh0st kötü amaçlı yazılımı, hedef ağlardaki kurbanları bulmak ve bunlardan yararlanmak için bir botnet oluşturur. Bu, AWS, Office 365, SendGrid ve Twilio kimlik bilgileri gibi hassas verileri içeren .env dosyalarını hedef alan Python komut dosyasıyla oluşturulmuş bir tehdittir.
Bu botnet kötü amaçlı yazılımı “Androxgh0st” ayrıca SMTP’yi taramak, kimlik bilgilerini ve API’leri kullanmak ve güvenliği ihlal edilmiş hedeflenen sistemlere web kabukları dağıtmak için kötüye kullanıyor.
Androxgh0st kötü amaçlı yazılımı, güvenlik açıklarına sahip web sitelerini taramak için CVE-2017-9841’i kullanarak PHP kodunu PHPUnit aracılığıyla uzaktan çalıştırarak komut dosyaları kullanıyor.
Tehdit aktörlerinin kod yürütmesine olanak tanıyan /vendor klasörleri bulunan web sitelerindeki /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php URI’sini hedefler.
Sadece bu değil, bu kötü amaçlı yazılım aynı zamanda kötü amaçlı dosyaların indirilmesine, arka kapı erişimi için sahte sayfalar oluşturulmasına ve siber operasyonlarda veritabanlarına erişime de olanak sağlıyor.
Kötü amaçlı yazılım, kimlik bilgileri için .env dosyalarını hedefler ve Laravel web uygulamalarını taramak için bir botnet oluşturur.
Tehdit aktörleri, kullanıcı adlarını, şifreleri ve daha fazlasını arayarak /.env URI’sine GET/POST istekleri gönderir. Hata ayıklama modunda bir POST değişkeni (0x[]) bir tanımlayıcı olarak.
Başarılı olmaları durumunda e-postaya, AWS kimlik bilgilerine ve Laravel uygulama anahtarına erişirler.
Bunun yanı sıra, CVE-2018-15133’ü kullanarak, uzaktan kod yürütme ve dosya yükleme için PHP kodunu XSRF-TOKEN çerezinden geçirmek üzere şifrelerler.
Androxgh0st botnet kötü amaçlı yazılımının arkasındaki tehdit aktörleri, Apache sunucularını (v2.4.49 veya v2.4.50) tarayarak CVE-2021-41773’ten yararlanıyor. Yol geçişi yoluyla, dosyaları kök dizinin ötesinde bulurlar ve uzaktan kod yürütülmesine olanak tanırlar.
Kimlik bilgilerini alarak hassas verilere erişiyorlar veya hizmetleri kötüye kullanıyorlar. AWS için tavizler verirken; daha fazla tarama için kullanıcılar, politikalar ve örnekler oluştururlar.
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo