FBI:Androxgh0st恶意软件构建大型僵尸网络以窃取凭证

Anna艳娜2024-01-19 09:58:31
AndroxGh0st恶意软件最初于2022年12月被报道。FBI和CISA联合发布了安全公告,警告AndroxGh0st恶意软件带来的日益严重的威胁。该恶意软件的运营商正在积极构建僵尸网络,目的是进行凭证盗窃和建立后门访问。


FBI和网络安全与基础设施安全局(CISA)发布了联合网络安全通报(CSA),显示Androxgh0st恶意软件运营商正试图创建一个强大的僵尸网络,用于目标网络中的受害者识别和利用。


值得注意的是,AndroxGh0st恶意软件最初于2022年12月被报道。此后,网络犯罪分子继续在同一家族中提供恶意软件变体。值得注意的是,Legion恶意软件就是这样的一个例子,它以其凭证收集和短信劫持的能力而闻名。


根据该 通报,该恶意软件的目标是包含敏感信息的.env文件,例如使用Python脚本技术的Amazon Web Services Inc.、Microsoft Office 365、SendGrid和Twilio等知名应用程序的云凭据。


Androxgh0st还支持滥用简单邮件传输协议的功能,例如扫描/利用凭据。它利用Web应用程序和服务器中的漏洞,特别是那些使用Laravel框架和PHPUnit以及某些版本的Apache HTTP Server的漏洞。


威胁行为者一直在利用严重漏洞,例如CVE-2017-9841(允许通过PHPUnit远程执行PHP代码)和CVE-2021-41773(影响运行版本2.4.49或2.4.50的Apache Web服务器)。


Androxgh0st恶意软件TTP涉及脚本、扫描和搜索具有特定漏洞的网站。威胁参与者利用CVE-2017-9841通过PHPUnit在易出错的网站上远程运行PHP代码。


此外,具有暴露/vendor文件夹的网站容易受到对/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php统一资源标识符的恶意HTTP POST请求。威胁行为者使用Androxgh0st下载恶意文件并设置虚假页面进行后门访问,从而允许他们下载其他恶意文件并访问数据库。


Androxgh0st恶意软件创建僵尸网络,使用Laravel Web应用程序框架扫描和识别网站,确定域的root-level.env文件是否暴露。如果暴露,它们会向/.env URI发出GET请求,或使用包含发送到Web服务器的数据的POST变量发出POST请求。此方法用于调试模式下的网站,其中非生产网站暴露于互联网。


成功的响应允许威胁行为者查找电子邮件和AWS帐户等服务的用户名、密码和凭证。该恶意软件可以访问网站上的Laravel应用程序密钥,使攻击者能够加密PHP代码并将其作为跨站伪造请求(XSRF)令牌cookie中的值传递,从而允许通过CVE-2018远程执行代码和远程文件上传CVE-2018-15133漏洞。


关于CVE-2021-41773,Androxgh0st操作员扫描运行Apache HTTP Server版本2.4.49或2.4.50的易受攻击的Web服务器,通过路径遍历攻击识别根目录之外的文件的统一资源定位器。他们可以获取服务凭证、访问敏感数据并进行恶意操作。据观察,他们创建了新用户和策略并进行了额外的扫描活动。


为了打击恶意网络活动,请优先修补面向互联网的系统中被利用的漏洞,确保仅将必要的服务器和服务暴露于互联网,并使用.env文件中列出的凭据检查平台/服务是否存在未经授权的访问或使用。


为了深入了解最新的安全建议,我们联系了Conversant Group首席执行官John A. Smith 。“CISA咨询提供了非常有帮助的妥协指标。我们还建议,一分预防胜于一分治疗——因为AndroxGh0st正在利用暴露的.env文件和未修补的漏洞,因此最好定期检查和监控云环境中的任何暴露情况,并制定非常积极的策略用于带外修补。”

软件僵尸网络
本作品采用《CC 协议》,转载必须注明作者和本文链接
微软的Defender团队,FS-ISAC,ESET,Lumen’s Black Lotus Labs,NTT和 Broadcom的网络安全部门Symantec联合起来,并于昨天宣布协同努力,摧毁臭名昭著的TrickBot僵尸网络的指挥和控制基础设施。安全公司已经收集了超过125,000个TrickBot恶意软件样本,并绘制了命令和控制基础结构图。TrickBot僵尸网络被安全专家认为是最大的僵尸网络之一。根据参与行动的安全公司的说法,TrickBot僵尸网络在被拿下时已经感染了100多万台设备。Trickbot自2016年以来一直活跃,当时作者设计它是为了窃取银行凭证。
监视TrickBot活动的公司的消息来源称,此次下架的影响是“暂时的”和“有限的”,但称赞微软及其合作伙伴所做的努力,无论其当前结果如何。但是,在私人采访中,甚至ESET,微软和赛门铁克的安全研究人员都表示,他们从未期望过一击就把TrickBot永久销毁。据获悉,即使从早期计划阶段开始,有关各方仍希望TrickBot卷土重来,并计划采取后续行动。
国外安全研究人员发现Matrix研究人员发现具有勒索软件僵尸网络功能的恶意软件Virobot,该恶意软件针对美国用户。如果一台机器感染了Viborot,就会成为垃圾邮件僵尸网络的一部分,将勒索软件分发给更多的受害者。
今年8月下旬,P2PInfect 僵尸网络蠕虫病毒活动量数据开始上升,到今年9月仍在持续上升。
网络攻击会激化潜在的恐怖分子,资助、招募和培训新成员。
五大恶意软件家族在2023年仍将兴风作浪,对企业网络安全构成严重威胁
现在的整个附属计划进行了大量修改,使其对在Conti消亡后寻找工作的附属机构而言更有吸引力。它声称自己已拥有100个附属机构。根据Malwarebytes的遥测数据显示,LockBit是去年迄今为止最活跃的勒索软件,受害者数量是第二活跃的勒索软件ALPHV的3.5倍。总体而言,2022年三分之一的勒索事件涉及LockBit,该团伙索要的最高赎金为5000万美元。
在勒索攻击中,非法者往往利用弱口令爆破、钓鱼邮件、网页挂马、0day/Nday漏洞等进入被攻击的网络环境,再通过凭证提取、获取权限、横向移动等找到受害者的重要资产,最终投放勒索软件进行精准勒索。
Anna艳娜
暂无描述