威胁组织利用Androxgh0st恶意软件收集云凭据

VSole2024-01-23 13:28:48

近日,美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)发布联合公告说道,有威胁组织在部署僵尸网络,利用Androxgh0st恶意软件大搞破坏。这个恶意软件能够收集云凭据(比如AWS或微软Azure等云服务的凭据),滥用简单邮件传输协议(SMTP),并扫描查找亚马逊简单电子邮件服务(ASES)参数。



Androxgh0st恶意软件简介


2022年12月,云安全公司Lacework率先披露了Androxgh0st恶意软件。该恶意软件是用Python编写的,主要用于窃取Laravel.env文件,而这个文件含有常见应用程序的凭据之类的秘密信息。几个类似工具受到该恶意软件的启发,比如AlienFox、GreenBot(即Maintance)、Legion和Predator。比如说,可能将应用程序和平台(比如AWS、Microsoft Office 365、SendGrid或Twilio)集成到Laravel框架,所有应用程序的秘密信息都存储在这个.env文件中。


Laravel是一种开源PHP Web应用程序框架,许多开发人员使用该框架处理常见的Web开发任务,无需从零开始编写低级代码。Laravel.env文件之所以是一种很常见的攻击目标,是由于它们常常含有凭据及其他信息,攻击者可以利用这些信息来访问及滥用高价值应用程序,比如AWS、Microsoft 365和Twilio。


僵尸网络搜索使用Laravel web应用程序框架的网站,随后确定其域名的根级.env文件是否暴露,是否含有访问其他服务的数据。.env文件中的数据可能是用户名、密码、令牌或其他凭据。


这不是该恶意代码实施的第一次重大活动;去年3月,网络安全公司飞塔公布了Androxgh0st的遥测数据,遥测数据显示超过40000台设备被这个僵尸网络感染(见图1)。



图1. 被Androxgh0st感染的设备数量(图片来源:飞塔)


FBI/CISA的联合公告声称:“Androxgh0st恶意软件还支持许多能够滥用简单邮件传输协议(SMTP)的功能,比如扫描和利用暴露的凭据和应用编程接口(API)以及web shell部署环境。”



Androxgh0st恶意软件如何利用旧漏洞


Androxgh0st可以访问Laravel应用程序密钥。如果该密钥暴露并且可以访问,攻击者将尝试使用它,对作为XSRF-TOKEN变量值传递给网站的PHP代码进行加密。这是试图利用一些版本的Laravel web应用程序框架中的CVE-2018-15133漏洞,一旦得逞,攻击者就可以远程上传文件到网站。CISA将这个CVE-2018-15133 Laravel不可信数据反序列化漏洞添加到了其已知利用漏洞目录中。


安全研究人员还发现部署Androxgh0st的威胁组织利用了CVE-2017-9841,这是PHP测试框架PHPUnit中的一个漏洞,允许攻击者在网站上执行远程代码。CVE-2021-41773也被利用,Apache HTTP服务器中的这个漏洞允许攻击者在网站上执行远程代码。



Androxgh0st恶意软件发送垃圾邮件的目的


2022年,acework观察到的近三分之一的重大安全事件被认为是为了实施发送垃圾邮件或恶意电子邮件的活动,其中大部分活动是由Androxgh0st造成的。


该恶意软件有多项功能可以滥用SMTP,包括扫描亚马逊的简单电子邮件服务发送配额,可能是为了将来用于发送垃圾邮件。



图2



如何防范Androxgh0st恶意软件威胁


CISA和FBI的联合公告建议大家采取以下做法:


•确保所有操作系统、软件和固件是最新版本。尤其是Apache服务器必须是最新版本。正如本文所提,攻击者仍然能够触发一个在2021年打过补丁的Apache Web服务器漏洞。


•确认所有URI的默认配置都是拒绝访问,除非明确需要从互联网来访问它。


•确保Laravel应用程序没有配置成在调试或测试模式下运行。


•从.env文件中删除所有云凭据,并撤销它们。正如CISA和FBI所述:“所有云提供商都有更安全的方式,可以向web服务器内运行的代码提供临时的、频繁轮换的凭据,无需将其存储在任何文件中。”


•检查任何使用.env文件进行未经授权访问或使用的平台或服务。


•搜索未知或无法识别的PHP文件;如果web服务器在使用PHPUnit,尤其要搜索web服务器的根文件夹和/vendor/phpunit/phpunit/src/Util/PHP文件夹中的PHP文件。


•检查向文件托管平台(比如GitHub和Pastebin)发出的GET请求,尤其是当请求访问.php文件时。


此外,建议检查任何新创建的用户是否存在任何受影响的服务,因为已经观察到Androxgh0st创建用于其他扫描活动的新AWS实例。具体就AWS而言,该恶意软件可以扫描并解析AWS密钥,另外还能够为蛮力攻击创建密钥。泄密的AWS凭据随后可用于创建新的用户和用户策略。


我们必须在所有端点和服务器上部署安全解决方案,保证可以检测到任何可疑活动。企业IT部门应该尽可能在所有服务上部署多因素身份验证,以避免被拥有有效凭据的攻击者破坏。


参考及来源:https://www.techrepublic.com/article/androxgh0st-malware-botnet/




软件cisa
本作品采用《CC 协议》,转载必须注明作者和本文链接
RaaS在Reveton扎根Reveton通过向被感染的电脑发送虚假的警察机构信息进行勒索入侵者甚至冒充美国联邦调查局或其他执法机构,强迫受害者支付罚款。据报道,Reveton的网络攻击者每月从受害者那里赚取约40万美元。Reveton定期发布新功能和新定制的赎金信息。毫无疑问,RaaS导致了勒索软件事件的持续上升。
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。
2021年5月18日,《美国创新与竞争法案》(United States Innovation and Competition Act of 2021)通过,由芯片和ORAN5G紧急拨款、《无尽前沿法案》、《2021战略竞争法案》、国土安全和政府事务委员会相关条款、《2021迎接中国挑战法案》和其他事项六部分构成。该法案进一步强化了《无尽前沿法案》提出的在科技领域赢得与中国的竞争的目标,提出了十大
CISA、FBI和国家安全局今天警告说,针对美国组织的康提勒索软件团伙的袭击升级。
软件供应链攻击正成为一种越来越常见的非法获取商业信息的犯罪方法。据研究机构Gartner预测,到2025年有45%的企业将会遭受供应链攻击。软件供应链包括业务软件研发与销售的任何环节,还涉及企业开发人员用来编写或引用代码的开源软件平台和公共存储库,还包括有权访问企业数据的任何服务组织。
2021年将被记住,因为这一年勒索软件团伙将注意力转向关键基础设施,尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭,因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。
为进一步推动产业发展,更好地汇聚产学研用各方力量,聚焦关键软件领域密码应用核心问题,不断夯实软件产业发展基础,共同推动软件产业和密码技术融合发展,12月18日,“2021年商用密码应用创新高端研讨会”在经开区国家信创园成功召开。在会上,中关村网络安全与信息化产业联盟EMCG工作组组长王克带来题为《密码在软件供应链安全中的应用》的演讲。
联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 和财政部 (Treasury) 正在发布这份联合网络安全咨询 (CSA),以提供有关毛伊岛勒索软件的信息,该软件已被朝鲜使用至少从 2021 年 5 月开始,由国家资助的网络参与者针对医疗保健和公共卫生 (HPH) 部门组织。
拜登总统于本周签署“改变游戏规则”的立法,要求关键基础设施实体和联邦机构必须在72 小时内向网络安全和基础设施安全局(CISA)报告重大网络事件,并在 24 小时内向 CISA 报告勒索软件攻击。
明年滚动更新Kemba Walden表示,计划中的一些举措已经完成,包括提交拟议法规正式成立网络安全审查委员会并授予其法定权限。Kemba Walden将该计划描述为一份“活的文件”,表示它将随着威胁形势的变化和已完成举措引发的新行动需求而不断演变。Kemba Walden强调,该计划将改善政府应对具体事件的能力,例如最近外国黑客利用微软云邮件服务漏洞获取美国和欧洲政府工作人员账户一事。最近,大西洋理事会发布最新报告,呼吁采取行动更好地保护云基础设施。
VSole
网络安全专家