Злоумышленники используют уязвимости, о которых известно уже несколько лет, для развёртывания вредоносного ПО Androxgh0st и создания ботнета для кражи учетных данных в облаке. Об этом сообщили Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA).
В совместном предупреждении , выпущенном 16 января, агентства заявили, что вредоносное ПО на Python нацелено в первую очередь на файлы “.env”, содержащие учётные данные пользователей AWS, Microsoft Office 365, SendGrid и Twilio.
Помимо сканирования и эксплуатации украденных учётных данных, Androxgh0st может использоваться также для развёртывания веб-оболочек, удалённого выполнения кода, кражи конфиденциальных данных, а также для создания новых пользователей и экземпляров AWS.
Как пример, в случае успешной компрометации учетных данных AWS на уязвимом веб-сайте, злоумышленники пытаются создать новых пользователей, а также пользовательские политики. Операторы Androxgh0st замечены за созданием новых экземпляров AWS для проведения дополнительных сканирований.
Злоумышленники, стоящие за распространением Androxgh0st, предпочитают три старые уязвимости, для которых давно выпущены патчи: CVE-2017-9841(уязвимость инъекции команд в PHPUnit), CVE-2018-15133(уязвимость небезопасной десериализации в веб-приложении Laravel, приводящая к удалённому выполнению кода) и CVE-2021-41773(уязвимость обхода пути в Apache HTTP Server, также приводящая к удалённому выполнению кода).
CVE-2017-9841 позволяет удалённо выполнять PHP-код через злонамеренный HTTP POST-запрос и скачивать файлы на систему, размещающую скомпрометированный веб-сайт. Злоумышленники могут установить фальшивую страницу для обеспечения “чёрного хода” к сайту, что позволяет им скачивать дополнительные вредоносные файлы и получать доступ к базам данных.
Вредоносное ПО также сканирует веб-сайты на Laravel, файлы “.env” которых доступны, и отправляет GET или POST-запросы для кражи учетных данных и токенов.
Третий метод, использующий уязвимость в веб-серверах Apache HTTP Server версий 2.4.49 или 2.4.50, позволяет проводить атаки с обходом пути. Злоумышленники сканируют URL, которые не защищены конфигурацией “Request all denied” и у которых не включены скрипты Common Gateway Interface (CGI). Это и позволяет проводить атаки удалённого выполнения кода.
В предупреждении о безопасности, опубликованном ведомствами, также указан список признаков компрометации Androxgh0st. ФБР и CISA предлагают несколько мер по снижению риска инфицирования.
Одна из тактик – убедиться, что серверы Apache не используют уязвимые версии 2.4.49 или 2.4.50. Также важно проверять, что конфигурация по умолчанию для всех URL запрещает любые запросы, если нет законных оснований для доступа.
Кроме того, рекомендуется регулярно пересматривать платформы и сервисы, перечисляющие учётные данные в файлах “.env”, и проверять их на несанкционированное использование.
Ну и последней рекомендацией, как всегда, станет своевременное обновление используемых операционных систем, прошивок устройств и прочего программного обеспечения, однако, как можно заметить по эксплуатации давно известных уязвимостей, мало кто применяет данную рекомендацию на практике.