Cybersecurity-onderzoekers hebben licht geworpen op een tool genaamd AndroxGh0st dat wordt gebruikt om Laravel-applicaties te targeten en gevoelige gegevens te stelen.
“Het werkt door het scannen en verwijderen van belangrijke informatie uit .env-bestanden, waardoor inloggegevens worden onthuld die zijn gekoppeld aan AWS en Twilio”, aldus Juniper Threat Labs-onderzoeker Kashinath T. Pattan.
“Het is geclassificeerd als een SMTP-kraker en exploiteert SMTP met behulp van verschillende strategieën, zoals misbruik van inloggegevens, implementatie van webshells en scannen van kwetsbaarheden.”
AndroxGh0st wordt in ieder geval sinds 2022 in het wild gedetecteerd, waarbij bedreigingsactoren het gebruiken om toegang te krijgen tot Laravel-omgevingsbestanden en inloggegevens te stelen voor verschillende cloudgebaseerde applicaties zoals Amazon Web Services (AWS), SendGrid en Twilio.
Het is bekend dat aanvalsketens waarbij de Python-malware betrokken is, misbruik maken van bekende beveiligingsfouten in Apache HTTP Server, Laravel Framework en PHPUnit om initiële toegang te verkrijgen en voor escalatie en persistentie van bevoegdheden.
Eerder dit jaar waarschuwden Amerikaanse cyberveiligheids- en inlichtingendiensten voor aanvallers die de AndroxGh0st-malware inzetten om een botnet te creëren voor ‘identificatie en exploitatie van slachtoffers in doelnetwerken’.
“Androxgh0st krijgt eerst toegang via een zwakte in Apache, geïdentificeerd als CVE-2021-41773, waardoor het toegang krijgt tot kwetsbare systemen”, legt Pattan uit.
“Hierna maakt het gebruik van aanvullende kwetsbaarheden, met name CVE-2017-9841 en CVE-2018-15133, om code uit te voeren en permanente controle te bewerkstelligen, waarbij het feitelijk de beoogde systemen overneemt.”
Androxgh0st is ontworpen om gevoelige gegevens uit verschillende bronnen te exfiltreren, waaronder .env-bestanden, databases en cloudreferenties. Hierdoor kunnen bedreigingsactoren extra ladingen naar gecompromitteerde systemen leveren.
Juniper Threat Labs zei dat het een toename heeft waargenomen in de activiteit met betrekking tot de exploitatie van CVE-2017-9841, waardoor het essentieel is dat gebruikers snel actie ondernemen om hun instances bij te werken naar de nieuwste versie.
Het merendeel van de aanvalspogingen gericht op de honeypot-infrastructuur was afkomstig uit de VS, Groot-Brittannië, China, Nederland, Duitsland, Bulgarije, Koeweit, Rusland, Estland en India, voegde het eraan toe.
De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) onthulde dat kwetsbare WebLogic-servers in Zuid-Korea het doelwit zijn van tegenstanders en deze gebruikten als downloadservers om een cryptocurrency-miner genaamd z0Miner en andere tools zoals fast reverse proxy (FRP) te distribueren.
Het volgt ook op de ontdekking van een kwaadaardige campagne die AWS-instanties infiltreert om binnen enkele minuten meer dan 6.000 EC2-instanties te creëren en een binair bestand in te zetten dat is gekoppeld aan een gedecentraliseerd content delivery network (CDN), bekend als Meson Network.
Het in Singapore gevestigde bedrijf, dat tot doel heeft de ‘grootste bandbreedtemarktplaats ter wereld’ te creëren, werkt door gebruikers in staat te stellen hun inactieve bandbreedte en opslagbronnen uit te wisselen met Meson voor tokens (dwz beloningen).
“Dit betekent dat mijnwerkers Meson-tokens zullen ontvangen als beloning voor het leveren van servers aan het Meson Network-platform, en de beloning zal worden berekend op basis van de hoeveelheid bandbreedte en opslag die in het netwerk wordt gebracht”, zei Sysdig in een technisch rapport dat deze maand werd gepubliceerd.
“Het gaat niet meer alleen om het delven van cryptovaluta. Diensten zoals het Meson-netwerk willen ruimte op de harde schijf en netwerkbandbreedte benutten in plaats van CPU. Hoewel Meson een legitieme dienst is, laat dit zien dat aanvallers altijd op zoek zijn naar nieuwe manieren om geld te verdienen.” geld.”
Nu cloudomgevingen steeds meer een lucratief doelwit worden voor bedreigingsactoren, is het van cruciaal belang om software up-to-date te houden en te controleren op verdachte activiteiten.
Bedreigingsinformatiebedrijf Permiso heeft ook een tool uitgebracht genaamd CloudGrappler, die bovenop de fundamenten van cloudgrep is gebouwd en AWS en Azure scant op het markeren van kwaadaardige gebeurtenissen die verband houden met bekende bedreigingsactoren.
