FBI ve CISA, AndroxGh0st kötü amaçlı yazılımının oluşturduğu artan tehdit konusunda uyarıda bulunan ortak bir güvenlik tavsiyesi yayınladı. Bu kötü amaçlı yazılımın operatörleri, Kimlik Bilgisi Hırsızlığı gerçekleştirmek ve Arka Kapı Erişimi oluşturmak amacıyla aktif olarak bir botnet oluşturmaya çalışmaktadır.
FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Androxgh0st kötü amaçlı yazılım operatörlerinin hedef ağlarda kurban tespiti ve istismarı için güçlü bir botnet oluşturmaya çalıştıklarını ortaya koyan ortak bir Siber Güvenlik Tavsiyesi (CSA) yayınladı.
AndroxGh0st kötü amaçlı yazılımının ilk olarak Aralık 2022’de rapor edildiğini belirtmekte fayda var. Bunun üzerine siber suçlular aynı ailedeki kötü amaçlı yazılım türlerini sunmaya devam etti. Bunlardan en önemlisi, kimlik bilgisi toplama ve SMS ele geçirme yetenekleriyle bilinen Legion kötü amaçlı yazılımıdır.
Öneriye göre kötü amaçlı yazılım, Python komut dosyası içeren teknikler kullanarak Amazon Web Services Inc. Microsoft Office 365, SendGrid ve Twilio dahil olmak üzere yüksek profilli uygulamalar için bulut kimlik bilgileri gibi hassas bilgiler içeren .env dosyalarını hedefliyor.
Androxgh0st ayrıca kimlik bilgilerini tarama/kullanma gibi Basit Posta Aktarım Protokolünü kötüye kullanma işlevlerini de destekler. Web uygulamaları ve sunucularındaki, özellikle de Laravel çerçevesini ve PHPUnit’i ve Apache HTTP Sunucusunun belirli sürümlerini kullananlardaki güvenlik açıklarından yararlanır.
Tehdit aktörleri, PHPUnit aracılığıyla uzaktan PHP kodu yürütülmesine izin veren CVE-2017-9841 ve 2.4.49 veya 2.4.50 sürümlerini çalıştıran Apache web sunucularını etkileyen CVE-2021-41773 gibi kritik güvenlik açıklarını kullanıyor.
Androxgh0st kötü amaçlı yazılım TTP’leri, komut dosyalarını, taramayı ve belirli güvenlik açıklarına sahip web sitelerini aramayı içerir. Tehdit aktörleri, PHPUnit aracılığıyla hatalı web sitelerinde PHP kodunu uzaktan çalıştırmak için CVE-2017-9841’den yararlanıyor.
Ayrıca, /vendor klasörleri açığa çıkan web siteleri, /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php tek tip kaynak tanımlayıcısına yönelik kötü amaçlı HTTP POST isteklerine tabidir. Tehdit aktörleri, kötü amaçlı dosyaları indirmek ve arka kapı erişimi için sahte sayfalar oluşturmak için Androxgh0st’i kullanıyor ve böylece ek kötü amaçlı dosyalar indirmelerine ve veritabanlarına erişmelerine olanak tanıyor.
Androxgh0st kötü amaçlı yazılımı, Laravel web uygulama çerçevesini kullanarak web sitelerini taramak ve tanımlamak için bir botnet oluşturur ve etki alanının root-level.env dosyasının açığa çıkıp çıkmadığını belirler. Açığa çıkarsa, /.env URI’sine bir GET isteği veya web sunucusuna gönderilen verileri içeren bir POST değişkeniyle bir POST isteği yayınlarlar. Bu yöntem, üretim dışı web sitelerinin internete açık olduğu hata ayıklama modundaki web siteleri için kullanılır.
Başarılı bir yanıt, tehdit aktörlerinin e-posta ve AWS hesapları gibi hizmetler için kullanıcı adlarını, parolaları ve kimlik bilgilerini aramasına olanak tanır. Kötü amaçlı yazılım, bir web sitesindeki Laravel uygulama anahtarına erişebilir, saldırganların PHP kodunu şifrelemesine ve bunu siteler arası sahtecilik isteği (XSRF) belirteç çerezinde bir değer olarak geçirmesine olanak tanıyarak uzaktan kod yürütülmesine ve CVE-2018 aracılığıyla uzaktan dosya yüklemesine olanak tanır. 15133 güvenlik açığı.
CVE-2021-41773 ile ilgili olarak Androxgh0st operatörleri, Apache HTTP Sunucusu 2.4.49 veya 2.4.50 sürümlerini çalıştıran güvenlik açığı bulunan web sunucularını tarayarak yol geçiş saldırıları yoluyla kök dizinin dışındaki dosyalar için tek tip kaynak konumlandırıcıları tanımlar. Hizmet kimlik bilgilerini ele geçirebilir, hassas verilere erişebilir ve kötü amaçlı işlemler gerçekleştirebilirler. Yeni kullanıcılar ve politikalar oluşturdukları ve ek tarama faaliyetleri yürüttükleri gözlemlendi.
Kötü niyetli siber faaliyetlerle mücadele etmek için, internete açık sistemlerde istismar edilen güvenlik açıklarının yamalanmasına öncelik verin, yalnızca gerekli sunucuların ve hizmetlerin internete açık olduğundan emin olun ve .env dosyalarında listelenen kimlik bilgilerine sahip platformları/hizmetleri yetkisiz erişim veya kullanım açısından inceleyin.
En son güvenlik danışmanlığı hakkında bilgi almak için Conversant Group CEO’su John A. Smith’e ulaştık. “CISA tavsiye belgesi, çok yararlı olan Uzlaşma Göstergeleri sağlıyor. Ayrıca, bir ons önlemenin bir kilo tedaviye değer olduğunu da tavsiye ediyoruz; AndroxGh0st, açığa çıkan .env dosyalarından ve yamalanmamış güvenlik açıklarından yararlandığından, herhangi bir riske karşı bulut ortamlarını her zaman düzenli olarak denetlemeniz ve izlemeniz ve çok agresif bir politikaya sahip olmanız tavsiye edilir. bant dışı yama için.”
İLGİLİ MAKALELER
- Qubitstrike Kötü Amaçlı Yazılım, Bulut Verileri için Jupyter Notebook’ları Etkiliyor
- Çinli APT, Kamboçya’da Casusluk Yapmak İçin Bulut Hizmeti Gibi Davranıyor
- CISA, Ücretsiz Siber Güvenlik Araç ve Hizmetlerinin Listesini Yayınladı
- Telegramı Hedefleyen Tedarik Zinciri Saldırısı, AWS Alibaba Bulut Kullanıcıları
- Fortinet VPN’deki Kritik Açıklardan Yararlanan Bilgisayar Korsanları – FBI-CISA