Исследователи кибербезопасности пролили свет на инструмент, известный как AndroxGh0st, который используется для атаки на приложения Laravel и кражи конфиденциальных данных.
"Она работает путем сканирования и извлечения важной информации из файлов .env, раскрывая данные для входа, связанные с AWS и Twilio", - сказал исследователь Juniper Threat Labs Кашинат Т. Паттан.
"Классифицируемая как SMTP-взломщик, она использует SMTP с использованием различных стратегий, таких как использование учетных данных, развертывание веб-оболочки и сканирование уязвимостей".
Вредоносная программа AndroxGh0st была обнаружена в открытом доступе по крайней мере с 2022 года, когда злоумышленники использовали ее для доступа к файлам среды Laravel и кражи учетных данных для различных облачных приложений, таких как Amazon Web Services (AWS), SendGrid и Twilio.
Известно, что цепочки атак с участием вредоносного ПО Python используют известные недостатки безопасности в HTTP-сервере Apache, платформе Laravel Framework и PHPUnit для получения начального доступа, повышения привилегий и сохранения данных.
Ранее в январе этого года службы кибербезопасности и разведки США предупредили о злоумышленниках, использующих вредоносную программу AndroxGh0st для создания ботнета для "идентификации жертв и эксплуатации в целевых сетях".
"Androxgh0st сначала проникает через уязвимость в Apache, идентифицированную как CVE-2021-41773, что позволяет ей получать доступ к уязвимым системам", - объяснил Паттан.
"После этого она использует дополнительные уязвимости, в частности CVE-2017-9841 и CVE-2018-15133, для выполнения кода и установления постоянного контроля, по сути, захватывая целевые системы".
Androxgh0st предназначена для извлечения конфиденциальных данных из различных источников, включая файлы .env, базы данных и учетные данные из облака. Это позволяет субъектам угрозы предоставлять дополнительную полезную нагрузку для скомпрометированных систем.
Juniper Threat Labs заявила, что наблюдает всплеск активности, связанный с использованием CVE-2017-9841, поэтому пользователям необходимо быстро обновить свои экземпляры до последней версии.
Большинство попыток атак, нацеленных на инфраструктуру honeypot, были предприняты в США, Великобритании, Китае, Нидерландах, Германии, Болгарии, Кувейте, России, Эстонии и Индии, добавлено в нем.
Разработка началась после того, как Центр анализа безопасности AhnLab (ASEC) обнаружил, что уязвимые серверы WebLogic, расположенные в Южной Корее, стали мишенью злоумышленников, которые использовали их в качестве серверов загрузки для распространения майнера криптовалюты под названием z0Miner и других инструментов, таких как fast reverse proxy (FRP).
Это также следует за обнаружением вредоносной кампании, которая проникает в инстансы AWS, создавая более 6000 инстансов EC2 в течение нескольких минут и развертывая бинарный файл, связанный с децентрализованной сетью доставки контента (CDN), известной как Meson Network.
Сингапурская компания, целью которой является создание "крупнейшего в мире рынка пропускной способности", позволяет пользователям обменивать свою незанятую пропускную способность и ресурсы хранения с Meson на токены (то есть вознаграждения).
"Это означает, что майнеры получат токены Meson в качестве вознаграждения за предоставление серверов платформе Meson Network, и вознаграждение будет рассчитываться на основе объема пропускной способности и хранилища, подключенного к сети", - сказал Sysdig в техническом отчете, опубликованном в этом месяце.
"Теперь речь идет не только о майнинге криптовалюты. Такие сервисы, как Meson network, хотят использовать пространство на жестком диске и пропускную способность сети вместо центрального процессора. Хотя Meson может быть законным сервисом, это показывает, что злоумышленники всегда ищут новые способы заработать деньги."
Поскольку облачные среды все чаще становятся прибыльной целью для субъектов угроз, крайне важно поддерживать программное обеспечение в актуальном состоянии и отслеживать подозрительную активность.
Компания Permiso, занимающаяся анализом угроз, также выпустила инструмент под названием CloudGrappler, который построен на основе cloudgrep и сканирует AWS и Azure на предмет выявления вредоносных событий, связанных с известными участниками угрозы.
"Она работает путем сканирования и извлечения важной информации из файлов .env, раскрывая данные для входа, связанные с AWS и Twilio", - сказал исследователь Juniper Threat Labs Кашинат Т. Паттан.
"Классифицируемая как SMTP-взломщик, она использует SMTP с использованием различных стратегий, таких как использование учетных данных, развертывание веб-оболочки и сканирование уязвимостей".
Вредоносная программа AndroxGh0st была обнаружена в открытом доступе по крайней мере с 2022 года, когда злоумышленники использовали ее для доступа к файлам среды Laravel и кражи учетных данных для различных облачных приложений, таких как Amazon Web Services (AWS), SendGrid и Twilio.
Известно, что цепочки атак с участием вредоносного ПО Python используют известные недостатки безопасности в HTTP-сервере Apache, платформе Laravel Framework и PHPUnit для получения начального доступа, повышения привилегий и сохранения данных.
Ранее в январе этого года службы кибербезопасности и разведки США предупредили о злоумышленниках, использующих вредоносную программу AndroxGh0st для создания ботнета для "идентификации жертв и эксплуатации в целевых сетях".
"Androxgh0st сначала проникает через уязвимость в Apache, идентифицированную как CVE-2021-41773, что позволяет ей получать доступ к уязвимым системам", - объяснил Паттан.
"После этого она использует дополнительные уязвимости, в частности CVE-2017-9841 и CVE-2018-15133, для выполнения кода и установления постоянного контроля, по сути, захватывая целевые системы".
Androxgh0st предназначена для извлечения конфиденциальных данных из различных источников, включая файлы .env, базы данных и учетные данные из облака. Это позволяет субъектам угрозы предоставлять дополнительную полезную нагрузку для скомпрометированных систем.
Juniper Threat Labs заявила, что наблюдает всплеск активности, связанный с использованием CVE-2017-9841, поэтому пользователям необходимо быстро обновить свои экземпляры до последней версии.
Большинство попыток атак, нацеленных на инфраструктуру honeypot, были предприняты в США, Великобритании, Китае, Нидерландах, Германии, Болгарии, Кувейте, России, Эстонии и Индии, добавлено в нем.
Разработка началась после того, как Центр анализа безопасности AhnLab (ASEC) обнаружил, что уязвимые серверы WebLogic, расположенные в Южной Корее, стали мишенью злоумышленников, которые использовали их в качестве серверов загрузки для распространения майнера криптовалюты под названием z0Miner и других инструментов, таких как fast reverse proxy (FRP).
Это также следует за обнаружением вредоносной кампании, которая проникает в инстансы AWS, создавая более 6000 инстансов EC2 в течение нескольких минут и развертывая бинарный файл, связанный с децентрализованной сетью доставки контента (CDN), известной как Meson Network.
Сингапурская компания, целью которой является создание "крупнейшего в мире рынка пропускной способности", позволяет пользователям обменивать свою незанятую пропускную способность и ресурсы хранения с Meson на токены (то есть вознаграждения).
"Это означает, что майнеры получат токены Meson в качестве вознаграждения за предоставление серверов платформе Meson Network, и вознаграждение будет рассчитываться на основе объема пропускной способности и хранилища, подключенного к сети", - сказал Sysdig в техническом отчете, опубликованном в этом месяце.
"Теперь речь идет не только о майнинге криптовалюты. Такие сервисы, как Meson network, хотят использовать пространство на жестком диске и пропускную способность сети вместо центрального процессора. Хотя Meson может быть законным сервисом, это показывает, что злоумышленники всегда ищут новые способы заработать деньги."
Поскольку облачные среды все чаще становятся прибыльной целью для субъектов угроз, крайне важно поддерживать программное обеспечение в актуальном состоянии и отслеживать подозрительную активность.
Компания Permiso, занимающаяся анализом угроз, также выпустила инструмент под названием CloudGrappler, который построен на основе cloudgrep и сканирует AWS и Azure на предмет выявления вредоносных событий, связанных с известными участниками угрозы.
