Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανέδειξαν ένα εργαλείο γνωστό ως AndroxGh0st που αποσκοπεί στην επίθεση σε εφαρμογές Laravel και την παράνομη απόκτηση ευαίσθητων δεδομένων.
Ο ερευνητής των Juniper Threat Labs, Kashinath T Pattan δήλωσε ότι “Λειτουργεί με το να ανιχνεύει και να αφαιρεί σημαντικές πληροφορίες από αρχεία .env, αποκαλύπτοντας δεδομένα σύνδεσης που σχετίζονται με το AWS και το Twilio.
Διαβάστε επίσης: Οι κυρίαρχες τεχνικές malware που χρησιμοποιούν οι χάκερς
“Κατατάσσεται ως κράκερ SMTP, εκμεταλλεύεται το πρωτόκολλο SMTP με διάφορες τεχνικές όπως η κλοπή διαπιστευτηρίων, η ανάπτυξη κελύφους ιστού και η εντοπισμός ευπαθειών.”
Το AndroxGh0st έχει εντοπιστεί τουλάχιστον από το 2022, με τους χάκερς να το εκμεταλλεύονται για να αποκτήσουν πρόσβαση σε αρχεία Laravel και να κλέψουν διαπιστευτήρια για εφαρμογές που βασίζονται σε cloud, όπως το Amazon Web Services (AWS), το SendGrid και το Twilio.
Οι αλυσίδες επιθέσεων που εκμεταλλεύονται το κακόβουλο λογισμικό Python, γνωστές για την εκμετάλλευση γνωστών ελαττωμάτων ασφαλείας σε διακομιστές HTTP Apache, το Laravel Framework και το PHPUnit, χρησιμοποιούνται για την αρχική πρόσβαση και την εκτέλεση επιθέσεων με στόχο την απόκτηση προνομίων.
Τον Ιανουάριο, οι υπηρεσίες κυβερνοασφάλειας και πληροφοριών των ΗΠΑ προειδοποίησαν για χάκερς που αναπτύσσουν το κακόβουλο λογισμικό AndroxGh0st για να δημιουργήσουν ένα botnet για «αναγνώριση και εκμετάλλευση θυμάτων σε δίκτυα-στόχους».
“Το Androxgh0st αποκτά πρόσβαση αρχικά μέσω μιας ευπάθειας στο Apache, η οποία αναφέρεται ως CVE-2021-41773, επιτρέποντας του να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα”, εξήγησε ο Pattan.
«Έπειτα, εκμεταλλευόμενο τα ευάλωτα σημεία, ειδικότερα τα CVE-2017-9841 και CVE-2018-15133, προβαίνει σε εκτέλεση κώδικα για την δημιουργία μόνιμου ελέγχου, αναλαμβάνοντας ουσιαστικά τον έλεγχο των επηρεαζόμενων συστημάτων.».
Το Androxgh0st έχει σχεδιαστεί για την εξαγωγή ευαίσθητων δεδομένων από διάφορες πηγές, συμπεριλαμβανομένων αρχείων .env, βάσεων δεδομένων και διαπιστευτηρίων cloud. Αυτό επιτρέπει σε οργανισμούς απειλής να μεταφέρουν επιπλέον χρήσιμα φορτία σε παραβιασμένα συστήματα.
Δείτε επίσης: BunnyLoader 3.0: Νέα έκδοση του malware με νέες δυνατότητες
Η Juniper Threat Labs αναφέρει ότι παρατηρεί αύξηση στη δραστηριότητα που σχετίζεται με την εκμετάλλευση του CVE-2017-9841. Είναι ζωτικής σημασίας οι χρήστες να αντιδράσουν άμεσα και να ενημερώσουν τα λογισμικά τους στην πιο πρόσφατη έκδοση.
Η πλειονότητα των προσπαθειών επίθεσης με στόχο την υποδομή honeypot προήλθε από τις ΗΠΑ, το Ηνωμένο Βασίλειο, την Κίνα, την Ολλανδία, τη Γερμανία, τη Βουλγαρία, το Κουβέιτ, τη Ρωσία, την Εσθονία και την Ινδία.
Το AhnLab Security Intelligence Center (ASEC) αποκάλυψε ότι ευάλωτοι διακομιστές WebLogic που βρίσκονται στη Νότια Κορέα στοχοποιούνται από χάκερς και τους χρησιμοποιούν ως διακομιστές λήψης για τη διανομή εξόρυξης κρυπτονομισμάτων που ονομάζεται z0Miner και άλλων εργαλείων όπως ο άμεσος αντίστροφος διακομιστής μεσολάβησης (FRP).
Επιπλέον, ακολουθεί η ανίχνευση μιας κακόβουλης εκστρατείας που εισβάλλει σε στιγμιότυπα AWS για να δημιουργήσει πάνω από 6.000 παρουσίες EC2 μέσα σε λίγα λεπτά και να αναπτύξει ένα δίκτυο παράδοσης περιεχομένου (CDN) γνωστό ως Meson Network, το οποίο σχετίζεται με ένα αποκεντρωμένο δίκτυο.
Μια εταιρεία με έδρα στη Σιγκαπούρη αποσκοπεί στη δημιουργία της “μεγαλύτερης αγοράς εύρους ζώνης στον κόσμο”.
“Αυτό σημαίνει ότι οι ανθρακωρύχοι θα λάβουν μάρκες Meson ως ανταμοιβή για την παροχή υπηρεσιών στην πλατφόρμα Meson Network. Η ανταμοιβή θα υπολογιστεί βάσει του εύρους ζώνης και του αποθηκευτικού χώρου που διατίθενται στο δίκτυο”, δήλωσε ο Sysdig σε τεχνική έκθεση που δημοσιεύθηκε αυτόν τον μήνα.
“Δεν πρόκειται πλέον για την εξόρυξη κρυπτονομισμάτων. Υπηρεσίες όπως το δίκτυο Meson επιδιώκουν να εκμεταλλευτούν τον χώρο στον σκληρό δίσκο και το εύρος ζώνης του δικτύου αντί της CPU. Αν και το Meson μπορεί να είναι νόμιμη υπηρεσία, αυτό υποδεικνύει ότι οι εισβολείς πάντα αναζητούν νέους τρόπους να κερδίσουν χρήματα.”
Δείτε ακόμη: Το Linux malware AcidPour στοχεύει την Ουκρανία
Καθώς τα cloud environments γίνονται όλο και πιο επιθυμητά στους χάκερς, είναι ζωτικής σημασίας να διατηρείται το λογισμικό ενημερωμένο και να παρακολουθείται για οποιαδήποτε ύποπτη δραστηριότητα.
Η Permiso, εταιρεία πληροφοριών απειλών, παρουσίασε το CloudGrappler, ένα εργαλείο που ξεχωρίζει για τη χρήση του στον ισχυρό κόσμο του cloudgrep. Ανιχνεύει κακόβουλες ενέργειες σε περιβάλλοντα AWS και Azure, συνδέοντάς τα με καταξιωμένους παράγοντες απειλών.
Πηγή: thehackernews
