Siber güvenlik araştırmacıları, şu şekilde adlandırılan bir araca ışık tuttu: AndroxGh0st Laravel uygulamalarını hedeflemek ve hassas verileri çalmak için kullanılır.
Juniper Threat Labs araştırmacısı Kashinath T Pattan, “Bu, .env dosyalarındaki önemli bilgileri tarayıp çıkararak, AWS ve Twilio ile bağlantılı oturum açma ayrıntılarını ortaya çıkararak çalışıyor” dedi.
“SMTP kırıcı olarak sınıflandırılan bu program, kimlik bilgilerinin kullanılması, web kabuğu dağıtımı ve güvenlik açığı taraması gibi çeşitli stratejiler kullanarak SMTP'den yararlanıyor.”
AndroxGh0st, en az 2022'den beri ortalıkta tespit ediliyor; tehdit aktörleri Laravel ortam dosyalarına erişmek ve Amazon Web Services (AWS), SendGrid ve Twilio gibi çeşitli bulut tabanlı uygulamaların kimlik bilgilerini çalmak için bundan yararlanıyor.
Python kötü amaçlı yazılımını içeren saldırı zincirlerinin, ilk erişimi elde etmek ve ayrıcalık yükseltme ve kalıcılık sağlamak için Apache HTTP Sunucusu, Laravel Framework ve PHPUnit'teki bilinen güvenlik kusurlarından yararlandığı bilinmektedir.
Bu Ocak ayının başlarında, ABD siber güvenlik ve istihbarat teşkilatları, saldırganların “kurbanların tespit edilmesi ve hedef ağlarda istismar edilmesi” amacıyla bir botnet oluşturmak amacıyla AndroxGh0st kötü amaçlı yazılımını dağıttığı konusunda uyardı.
Pattan, “Androxgh0st ilk olarak Apache'deki CVE-2021-41773 olarak tanımlanan bir zayıflık üzerinden giriş elde ederek savunmasız sistemlere erişmesine olanak tanıyor” dedi.
“Bunu takiben, kod yürütmek ve kalıcı kontrol oluşturmak, esasen hedeflenen sistemleri ele geçirmek için özellikle CVE-2017-9841 ve CVE-2018-15133 olmak üzere ek güvenlik açıklarından yararlanıyor.”
Androxgh0st, .env dosyaları, veritabanları ve bulut kimlik bilgileri dahil olmak üzere çeşitli kaynaklardan hassas verileri sızdırmak üzere tasarlanmıştır. Bu, tehdit aktörlerinin ele geçirilen sistemlere ek yükler göndermesine olanak tanır.
Juniper Threat Labs, CVE-2017-9841'in kötüye kullanılmasıyla ilgili faaliyetlerde bir artış gözlemlediğini, bunun da kullanıcıların örneklerini en son sürüme güncellemek için hızlı hareket etmelerinin gerekli olduğunu söyledi.
Honeypot altyapısını hedef alan saldırı girişimlerinin çoğunluğunun ABD, İngiltere, Çin, Hollanda, Almanya, Bulgaristan, Kuveyt, Rusya, Estonya ve Hindistan'dan kaynaklandığı belirtildi.
Gelişme, AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), Güney Kore'de bulunan savunmasız WebLogic sunucularının rakipler tarafından hedef alındığını ve bunları z0Miner adlı bir kripto para madencisini ve hızlı ters proxy (FRP) gibi diğer araçları dağıtmak için indirme sunucuları olarak kullandığını ortaya çıkarmasıyla ortaya çıktı.
Bu aynı zamanda AWS bulut sunucularına sızarak dakikalar içinde 6.000'den fazla EC2 bulut sunucusu oluşturmak ve Meson Ağı olarak bilinen merkezi olmayan bir içerik dağıtım ağıyla (CDN) ilişkili bir ikili programı dağıtmak için kötü amaçlı bir kampanyanın keşfedilmesini de takip ediyor.
“Dünyanın en büyük bant genişliği pazarını” yaratmayı amaçlayan Singapur merkezli şirket, kullanıcıların boş bant genişliğini ve depolama kaynaklarını Meson ile jeton (yani ödüller) karşılığında değiştirmelerine olanak tanıyarak çalışıyor.
Sysdig, bu ay yayınlanan teknik bir raporda, “Bu, madencilerin Meson Network platformuna sunucu sağlamaları karşılığında ödül olarak Meson tokenleri alacakları ve ödülün ağa getirilen bant genişliği ve depolama miktarına göre hesaplanacağı anlamına geliyor.” dedi.
“Artık her şey kripto para madenciliği ile ilgili değil. Meson ağı gibi hizmetler, CPU yerine sabit disk alanından ve ağ bant genişliğinden yararlanmak istiyor. Meson meşru bir hizmet olsa da, bu, saldırganların her zaman kripto para birimi madenciliği yapmak için yeni yollar aradığını gösteriyor. para.”
Bulut ortamlarının tehdit aktörleri için giderek daha kazançlı bir hedef haline gelmesiyle birlikte yazılımı güncel tutmak ve şüpheli etkinlikleri izlemek kritik önem taşıyor.
Tehdit istihbaratı firması Permiso, cloudgrep'in temelleri üzerine inşa edilen ve tanınmış tehdit aktörleriyle ilgili kötü amaçlı olayları işaretlemek için AWS ve Azure'u tarayan CloudGrappler adlı bir aracı da yayınladı.