CISA ve FBI bugün, Androxgh0st kötü amaçlı yazılımını kullanan tehdit aktörlerinin, bulut kimlik bilgileri hırsızlığına odaklanan bir botnet oluşturduğu ve çalınan bilgileri ek kötü amaçlı yükler sağlamak için kullandığı konusunda uyardı.
İlk olarak 2022’de Lacework Labs tarafından tespit edilen botnet, PHPUnit birim test çerçevesi, PHP web çerçevesi ve uzaktan kod yürütme (RCE) güvenlik açıklarına sahip Apache web sunucusunun sürümlerini kullanan web siteleri ve sunucuları tarıyor.
Bu saldırılarda hedeflenen RCE kusurları arasında CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Sunucusu) ve CVE-2018-15133 (Laravel) bulunmaktadır.
“Androxgh0st, öncelikle çeşitli yüksek profilli uygulamaların (örn. Amazon Web Hizmetleri) kimlik bilgileri gibi gizli bilgiler içeren .env dosyalarını hedeflemek için kullanılan Python komut dosyasıyla yazılmış bir kötü amaçlı yazılımdır. [AWS]Microsoft Office 365, SendGrid ve Laravel web uygulama çerçevesinden Twilio)” diye iki kurum uyardı.
“Androxgh0st kötü amaçlı yazılımı aynı zamanda, açıkta kalan kimlik bilgilerini ve uygulama programlama arayüzlerini (API’ler) tarama ve bunlardan yararlanma ve web kabuğu dağıtımı gibi Basit Posta Aktarım Protokolünü (SMTP) kötüye kullanabilen çok sayıda işlevi de destekliyor.”
Çalınan Twilio ve SendGrid kimlik bilgileri, tehdit aktörleri tarafından ihlal edilen şirketlerin kimliğine bürünerek spam kampanyaları yürütmek için kullanılabilir.
Lacework’e göre, “Kullanıma bağlı olarak AndroxGh0st, edinilen kimlik bilgilerine karşı iki temel işlevden birini gerçekleştirebilir. Bunlardan en sık gözlemleneni, hesabın spam için kullanılıp kullanılamayacağını değerlendirmek üzere e-posta gönderme sınırını kontrol etmektir.”
Saldırganların, ele geçirilen web sitelerinde sahte sayfalar oluşturdukları, onlara hassas bilgiler içeren veritabanlarına erişmeleri ve operasyonları için hayati önem taşıyan daha fazla kötü amaçlı araç dağıtmaları için bir arka kapı sağladığı gözlemlendi.
Savunmasız bir web sitesindeki AWS kimlik bilgilerinin başarılı bir şekilde tanımlanması ve ele geçirilmesinin ardından, yeni kullanıcılar ve kullanıcı politikaları oluşturmayı da denediler.
Ayrıca Andoxgh0st operatörleri, çalınan kimlik bilgilerini kullanarak internetteki diğer savunmasız hedefleri taramak amacıyla yeni AWS örneklerini çalıştırıyor.
FBI ve CISA, ağ savunucularına, Androxgh0st kötü amaçlı yazılım saldırılarının etkisini sınırlandırmak ve güvenlik ihlali riskini azaltmak için aşağıdaki etki azaltma önlemlerini uygulamalarını tavsiye ediyor:
- Tüm işletim sistemlerini, yazılımları ve ürün yazılımlarını güncel tutun. Özellikle Apache sunucularının 2.4.49 veya 2.4.50 sürümlerini çalıştırmadığından emin olun.
- Tüm URI’ler için varsayılan yapılandırmanın, erişilebilir olması için özel bir ihtiyaç olmadığı sürece tüm istekleri reddetmek olduğunu doğrulayın.
- Canlı Laravel uygulamalarının “hata ayıklama” veya test modunda olmadığından emin olun. .env dosyalarından tüm bulut kimlik bilgilerini kaldırın ve bunları iptal edin.
- Daha önce depolanan bulut kimlik bilgileri için tek seferlik ve kaldırılamayan diğer kimlik bilgileri türleri için sürekli olarak, .env dosyasında kimlik bilgileri listelenen tüm platformları veya hizmetleri yetkisiz erişim veya kullanım açısından inceleyin.
- Sunucunun dosya sistemini, özellikle kök dizinde veya /vendor/phpunit/phpunit/src/Util/PHP klasöründe, tanınmayan PHP dosyaları açısından tarayın.
- Özellikle istek bir .php dosyasına eriştiğinde GitHub, Pastebin vb. gibi dosya barındırma sitelerine giden GET isteklerini (cURL komutu aracılığıyla) inceleyin.
FBI ayrıca, bu tehditle bağlantılı şüpheli veya suç faaliyetlerini tespit eden kuruluşlardan Androxgh0st kötü amaçlı yazılımı hakkında bilgi istedi.
CISA, aktif istismarın bu kanıtına dayanarak bugün Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na güvenilmeyen veri güvenlik açığının CVE-2018-15133 Laravel seri durumdan çıkarılmasını ekledi.
ABD siber güvenlik kurumu ayrıca federal kurumlara sistemlerini 6 Şubat’a kadar bu saldırılara karşı koruma altına almalarını emretti.
CVE-2021-41773 Apache HTTP Sunucusu yol geçişi ve CVE-2017-9841 PHPUnit komut ekleme güvenlik açıkları sırasıyla Kasım 2021 ve Şubat 2022’de kataloğa eklendi.