HomesecurityAndroxGh0st Malware: targets Laravel applications for Cloud credential theft

AndroxGh0st Malware: targets Laravel applications for Cloud credential theft

Researchers in the field of cybersecurity ανέδειξαν ένα εργαλείο γνωστό ως AndroxGh0st που αποσκοπεί στην επίθεση σε εφαρμογές Laravel και την παράνομη απόκτηση ευαίσθητων δεδομένων.

AndroxGh0st

Ο ερευνητής των Juniper Threat Labs, Kashinath T Pattan δήλωσε ότι “Λειτουργεί με το να ανιχνεύει και να αφαιρεί σημαντικές information από αρχεία .env, αποκαλύπτοντας δεδομένα σύνδεσης που σχετίζονται με το AWS και το Twilio.

Read also: The dominant malware techniques used by hackers

“Κατατάσσεται ως κράκερ SMTP, εκμεταλλεύεται το πρωτόκολλο SMTP με διάφορες τεχνικές όπως η κλοπή διαπιστευτηρίων, η ανάπτυξη κελύφους ιστού και η εντοπισμός ευπαθειών.”

Το AndroxGh0st έχει εντοπιστεί τουλάχιστον από το 2022, με τους hackers να το εκμεταλλεύονται για να αποκτήσουν πρόσβαση σε αρχεία Laravel και να κλέψουν διαπιστευτήρια για εφαρμογές που βασίζονται σε cloud, όπως το Amazon Web Services (AWS), το SendGrid και το Twilio.

Οι αλυσίδες επιθέσεων που εκμεταλλεύονται το malware Python, γνωστές για την εκμετάλλευση γνωστών ελαττωμάτων ασφαλείας σε διακομιστές HTTP Apache, το Laravel Framework και το PHPUnit, χρησιμοποιούνται για την αρχική Accessed at και την εκτέλεση επιθέσεων με στόχο την απόκτηση προνομίων.

Τον Ιανουάριο, οι υπηρεσίες κυβερνοασφάλειας και πληροφοριών των ΗΠΑ προειδοποίησαν για χάκερς που αναπτύσσουν το κακόβουλο λογισμικό AndroxGh0st για να δημιουργήσουν ένα botnet για «αναγνώριση και εκμετάλλευση θυμάτων σε δίκτυα-στόχους».

“Το Androxgh0st αποκτά πρόσβαση αρχικά μέσω μιας vulnerability στο Apache, η οποία αναφέρεται ως CVE-2021-41773, επιτρέποντας του να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα”, εξήγησε ο Pattan.

«Έπειτα, εκμεταλλευόμενο τα ευάλωτα σημεία, ειδικότερα τα CVE-2017-9841 και CVE-2018-15133, προβαίνει σε εκτέλεση κώδικα για την δημιουργία μόνιμου ελέγχου, αναλαμβάνοντας ουσιαστικά τον έλεγχο των επηρεαζόμενων συστημάτων.».

Το Androxgh0st έχει σχεδιαστεί για την εξαγωγή ευαίσθητων δεδομένων από διάφορες πηγές, συμπεριλαμβανομένων αρχείων .env, βάσεων δεδομένων και διαπιστευτηρίων cloud. Αυτό επιτρέπει σε οργανισμούς απειλής να μεταφέρουν επιπλέον χρήσιμα φορτία σε παραβιασμένα συστήματα.

See also: BunnyLoader 3.0: New version of the malware with new features

Η Juniper Threat Labs αναφέρει ότι παρατηρεί αύξηση στη δραστηριότητα που σχετίζεται με την εκμετάλλευση του CVE-2017-9841. Είναι ζωτικής σημασίας οι χρήστες να αντιδράσουν άμεσα και να ενημερώσουν τα λογισμικά τους στην πιο πρόσφατη έκδοση.

Η πλειονότητα των προσπαθειών επίθεσης με στόχο την υποδομή honeypot προήλθε από τις ΗΠΑ, το Ηνωμένο Βασίλειο, την Κίνα, την Ολλανδία, τη Γερμανία, τη Βουλγαρία, το Κουβέιτ, τη Ρωσία, την Εσθονία και την Ινδία.

Το AhnLab Security Intelligence Center (ASEC) αποκάλυψε ότι ευάλωτοι διακομιστές WebLogic που βρίσκονται στη Νότια Κορέα στοχοποιούνται από χάκερς και τους χρησιμοποιούν ως διακομιστές λήψης για τη διανομή εξόρυξης cryptocurrency που ονομάζεται z0Miner και άλλων εργαλείων όπως ο άμεσος αντίστροφος διακομιστής μεσολάβησης (FRP).

Επιπλέον, ακολουθεί η ανίχνευση μιας κακόβουλης εκστρατείας που εισβάλλει σε στιγμιότυπα AWS για να δημιουργήσει πάνω από 6.000 παρουσίες EC2 μέσα σε λίγα λεπτά και να αναπτύξει ένα δίκτυο παράδοσης περιεχομένου (CDN) γνωστό ως Meson Network, το οποίο σχετίζεται με ένα αποκεντρωμένο δίκτυο.

A company με έδρα στη Σιγκαπούρη αποσκοπεί στη δημιουργία της “μεγαλύτερης αγοράς εύρους ζώνης στον κόσμο”.

“Αυτό σημαίνει ότι οι ανθρακωρύχοι θα λάβουν μάρκες Meson ως ανταμοιβή για την παροχή υπηρεσιών στην πλατφόρμα Meson Network. Η ανταμοιβή θα υπολογιστεί βάσει του εύρους ζώνης και του αποθηκευτικού χώρου που διατίθενται στο δίκτυο”, δήλωσε ο Sysdig σε τεχνική έκθεση που δημοσιεύθηκε αυτόν τον μήνα.

“Δεν πρόκειται πλέον για την εξόρυξη κρυπτονομισμάτων. Υπηρεσίες όπως το δίκτυο Meson επιδιώκουν να εκμεταλλευτούν τον χώρο στον σκληρό δίσκο και το εύρος ζώνης του δικτύου αντί της CPU. Αν και το Meson μπορεί να είναι νόμιμη υπηρεσία, αυτό υποδεικνύει ότι οι εισβολείς πάντα αναζητούν νέους τρόπους να κερδίσουν χρήματα.”

AndroxGh0st κακόβουλο λογισμικό

See also: Linux malware AcidPour targets Ukraine

Καθώς τα cloud environments γίνονται όλο και πιο επιθυμητά στους χάκερς, είναι ζωτικής σημασίας να διατηρείται το λογισμικό ενημερωμένο και να παρακολουθείται για οποιαδήποτε ύποπτη δραστηριότητα.

Η Permiso, εταιρεία πληροφοριών απειλών, παρουσίασε το CloudGrappler, ένα εργαλείο που ξεχωρίζει για τη χρήση του στον ισχυρό κόσμο του cloudgrep. Ανιχνεύει κακόβουλες ενέργειες σε περιβάλλοντα AWS και Azure, συνδέοντάς τα με καταξιωμένους παράγοντες απειλών.

Source: thehackernews

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS