美國CISA和FBI警告 惡意軟體AndroxGh0st攻擊Laravel和Apache HTTP伺服器 鎖定竊取 AWS、Azure 和 Office 365 憑證

Posted on by blogadmin

美國網安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告,部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路,用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體, 於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器,以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出,該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報,Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站,其中包括CVE-2017-9841,這是一個 PHPUnit 漏洞,導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假(非法)頁面,以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱,Androxgh0st 殭屍網路使用 Laravel 框架掃描網站,尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰,他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分,威脅行為者利用 CVE-2018-15133,這是一種不受信任資料的反序列化,允許他們將檔案上傳到易受攻擊的網站,CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773,這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷,導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證,他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前,SentinelOne 揭露了一種名為FBot的相關但獨特的工具,攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示:“雲端威脅格局將繼續借用其他工具的程式碼,並將它們整合到一個整體生態系統中,這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法,我們預計會看到針對這些服務的定制工具的出現,就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報,表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加,並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施,敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外,也要確保所有URI預設配置為拒絕所有請求,並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4 

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6  hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066 

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72  hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php