Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) προειδοποίησαν ότι οι κυβερνοεγκληματίες πίσω από το AndroxGh0st malware δημιουργούν ένα botnet για “αναγνώριση και εκμετάλλευση των θυμάτων σε δίκτυα-στόχους”.

Το AndroxGh0st είναι ένα κακόβουλο λογισμικό που βασίζεται σε Python και ανακαλύφθηκε από την Lacework τον Δεκέμβριο του 2022.

Το εργαλείο μπορεί να διεισδύσει σε διακομιστές που είναι ευάλωτοι σε γνωστές ευπάθειες. Στόχος είναι η πρόσβαση σε Laravel environment files και η κλοπή credentials για εφαρμογές όπως το Amazon Web Services (AWS), το Microsoft Office 365, το SendGrid και το Twilio.

Δείτε επίσης: Αυξημένη δραστηριότητα botnet τον τελευταίο μήνα

Μερικές από τις ευπάθειες που εκμεταλλεύεται το malware botnet, είναι τα CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) και CVE-2018-15133 (Laravel Framework).

Το AndroxGh0st έχει πολλαπλές δυνατότητες για να ενεργοποιήσει την κατάχρηση SMTP, συμπεριλαμβανομένης της σάρωσης, της εκμετάλλευσης εκτεθειμένων credentials και API, ακόμη και της ανάπτυξης web shells“, δήλωσε η Lacework. “Για το AWS συγκεκριμένα, το κακόβουλο λογισμικό σαρώνει και αναλύει τα κλειδιά AWS, αλλά έχει επίσης τη δυνατότητα να δημιουργεί κλειδιά για brute-force επιθέσεις“.

Σύμφωνα με τους ερευνητές, οι δυνατότητες του AndroxGh0st το καθιστούν μια ισχυρή απειλή. Οι κυβερνοεγκληματίες το χρησιμοποιούν για τη λήψη πρόσθετων κακόβουλων payloads και τη διατήρηση της μόνιμης πρόσβασης σε παραβιασμένα συστήματα.

Πρόσφατα, η SentinelOne αποκάλυψε ένα παρόμοιο κακόβουλο εργαλείο που ονομάζεται FBot, το οποίο χρησιμοποιείται επίσης για παραβιάσεις web servers, cloud υπηρεσιών, συστημάτων διαχείρισης περιεχομένου (CMS) και πλατφορμών SaaS.

Δείτε επίσης: NoaBot: Το νέο botnet στοχεύει SSH Servers για crypto mining

Προστασία από το AndroxGh0st malware botnet

Για να προστατευτείτε από το AndroxGh0st Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες που έχουν διορθωθεί σε πιο πρόσφατες εκδόσεις του λογισμικού (όπως συμβαίνει και σε αυτή την περίπτωση).

Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας

που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.

Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το AndroxGh0st Botnet. Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.

Δείτε επίσης: QNAP VioStor NVR: Ευπάθεια εκμεταλλεύεται ενεργά από botnet

Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.

Επιπλέον, η CISA και το FBI προτείνουν:

  • Βεβαιωθείτε ότι η προεπιλεγμένη ρύθμιση παραμέτρων για όλα τα URI είναι η απόρριψη όλων των αιτημάτων, εκτός εάν υπάρχει συγκεκριμένη ανάγκη να είναι προσβάσιμα.
  • Βεβαιωθείτε ότι τυχόν live Laravel applications δεν βρίσκονται σε λειτουργία “debug” ή testing mode. Καταργήστε όλα τα cloud credentials από αρχεία .env και ανακαλέστε τα.
  • Σαρώστε το σύστημα αρχείων του διακομιστή για μη αναγνωρισμένα αρχεία PHP, ιδιαίτερα στον κατάλογο ή στο φάκελο /vendor/phpunit/phpunit/src/Util/PHP.
  • Ελέγξτε τα εξερχόμενα αιτήματα GET (μέσω της εντολής cURL) για τοποθεσίες φιλοξενίας αρχείων, όπως το GitHub, το pastebin, κ.λπ., ιδιαίτερα όταν το αίτημα αποκτά πρόσβαση σε ένα αρχείο .php.

Πηγή: thehackernews.com