Botnet Androxgh0st rouba credenciais da AWS e Microsoft

Da Redação
19/01/2024

A Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA e o FBI lançaram um alerta sobre o uso do malware Androxgh0st por operadores de ameaças na construção de uma botnet voltada ao roubo de credenciais na nuvem. O objetivo dos cibercriminosos é utilizar as informações roubadas para descartar cargas maliciosas.

A botnet foi detectada pela primeira vez pelo Lacework Labs em 2022 e controlava mais de 40 mil dispositivos há quase um ano, de acordo com dados do Fortiguard Labs. Ela verifica sites e servidores vulneráveis às seguintes vulnerabilidades de execução remota de código (RCE): CVE-2017-9841 (estrutura de teste de unidade PHPUnit), CVE-2021-41773 (servidor Apache HTTP) e CVE-2018-15133 (Laravel PHP estrutura web).

“O Androxgh0st é um malware com script Python usado principalmente para atingir arquivos .env que contêm informações confidenciais, como credenciais para vários aplicativos de alto perfil (ou seja, Amazon Web Services [AWS], Microsoft Office 365, SendGrid e Twilio da estrutura de aplicação web Laravel)”, alertaram as duas agências.

Segundo as agências, o malware também suporta inúmeras funções capazes de abusar do Simple Mail Transfer Protocol (SMTP), como verificação e exploração de credenciais expostas e interfaces de programação de aplicativos (APIs) e implantação de web shell.

Os invasores foram observados criando páginas falsas em sites comprometidos, fornecendo-lhes uma backdoor para acessar bancos de dados contendo informações confidenciais e implantar mais ferramentas maliciosas vitais para suas operações.

Após identificar e comprometer com sucesso as credenciais da AWS em um site vulnerável, eles também tentaram criar novos usuários e políticas de usuário. Além disso, os operadores do Andoxgh0st usam credenciais roubadas para criar novas instâncias da AWS para verificar alvos vulneráveis adicionais na Internet.

Veja isso
Atividade global de botnets tem alta significativa em janeiro
Botnet baseada no Mirai instala criptominerador em servidor Linux

O FBI e a CISA aconselham os defensores da rede a implementar as seguintes medidas de mitigação para limitar o impacto dos ataques de malware Androxgh0st e reduzir o risco de comprometimento:

• Mantenha todos os sistemas operacionais, software e firmware atualizados. Especificamente, certifique-se de que os servidores Apache não estejam executando as versões 2.4.49 ou 2.4.50.

• Verifique se a configuração padrão para todos os URIs (Uniform Resource Identifiers, ou identificadores uniforme de recursos) é negar todas as solicitações, a menos que haja uma necessidade específica de acesso.

• Certifique-se de que qualquer aplicação Laravel ativa não esteja em modo de “depuração” ou teste. Remova todas as credenciais de nuvem dos arquivos .env e revogue-as.

• Uma única vez para credenciais de nuvem armazenadas anteriormente e continuamente para outros tipos de credenciais que não podem ser removidos, revise quaisquer plataformas ou serviços que tenham credenciais listadas no arquivo .env para acesso ou uso não autorizado.

• Faça uma varredura no sistema de arquivos do servidor em busca de arquivos PHP não reconhecidos, especialmente no diretório raiz ou na pasta /vendor/phpunit/phpunit/src/Util/PHP.

• Revise as solicitações GET de saída (por meio do comando cURL) para sites de hospedagem de arquivos, como GitHub, pastebin, etc., especialmente quando a solicitação acessa um arquivo .php.

Para ter acesso ao relatório completo da CISA, em inglês, sobre a botnet Androxgh0st clique aqui.

Compartilhar: