Pesquisadores de segurança cibernética lançaram luz sobre uma ferramenta conhecida como AndroxGh0st que é usado para atingir aplicativos Laravel e roubar dados confidenciais.
“Ele funciona verificando e extraindo informações importantes de arquivos .env, revelando detalhes de login vinculados à AWS e Twilio”, disse Kashinath T Pattan, pesquisador do Juniper Menace Labs.
“Classificado como um cracker SMTP, ele explora o SMTP usando várias estratégias, como exploração de credenciais, implantação de net shell e verificação de vulnerabilidades.”
AndroxGh0st foi detectado à solta desde pelo menos 2022, com agentes de ameaças aproveitando-o para acessar arquivos do ambiente Laravel e roubar credenciais para vários aplicativos baseados em nuvem, como Amazon Internet Providers (AWS), SendGrid e Twilio.
Sabe-se que cadeias de ataques envolvendo o malware Python exploram falhas de segurança conhecidas no Apache HTTP Server, Laravel Framework e PHPUnit para obter acesso inicial e para escalonamento e persistência de privilégios.
No início de janeiro, as agências de segurança cibernética e de inteligência dos EUA alertaram sobre os invasores que implantaram o malware AndroxGh0st para criar uma botnet para “identificação e exploração de vítimas em redes alvo”.
“Androxgh0st primeiro consegue entrar por meio de uma fraqueza no Apache, identificada como CVE-2021-41773, permitindo-lhe acessar sistemas vulneráveis”, explicou Pattan.
“Depois disso, ele explora vulnerabilidades adicionais, especificamente CVE-2017-9841 e CVE-2018-15133, para executar código e estabelecer controle persistente, essencialmente assumindo o controle dos sistemas visados.”
Androxgh0st foi projetado para exfiltrar dados confidenciais de várias fontes, incluindo arquivos .env, bancos de dados e credenciais de nuvem. Isso permite que os agentes de ameaças entreguem cargas adicionais aos sistemas comprometidos.
O Juniper Menace Labs disse ter observado um aumento na atividade relacionada à exploração do CVE-2017-9841, tornando essencial que os usuários atualizem rapidamente suas instâncias para a versão mais recente.
A maioria das tentativas de ataque visando a sua infra-estrutura de honeypot originou-se dos EUA, Reino Unido, China, Holanda, Alemanha, Bulgária, Kuwait, Rússia, Estónia e Índia, acrescentou.
O desenvolvimento ocorre quando o AhnLab Safety Intelligence Heart (ASEC) revelou que servidores WebLogic vulneráveis localizados na Coreia do Sul estão sendo alvo de adversários e os usaram como servidores de obtain para distribuir um minerador de criptomoeda chamado z0Miner e outras ferramentas como proxy reverso rápido (FRP).
Também segue a descoberta de uma campanha maliciosa que se infiltra nas instâncias da AWS para criar mais de 6.000 instâncias EC2 em minutos e implantar um binário associado a uma rede de distribuição de conteúdo descentralizada (CDN) conhecida como Meson Community.
A empresa sediada em Cingapura, que pretende criar o “maior mercado de largura de banda do mundo”, trabalha permitindo que os usuários troquem sua largura de banda ociosa e recursos de armazenamento com Meson por tokens (ou seja, recompensas).
“Isso significa que os mineradores receberão tokens Meson como recompensa por fornecer servidores para a plataforma Meson Community, e a recompensa será calculada com base na quantidade de largura de banda e armazenamento trazidos para a rede”, disse Sysdig em um relatório técnico publicado este mês.
“Não se trata mais apenas de mineração de criptomoedas. Serviços como a rede Meson querem aproveitar o espaço do disco rígido e a largura de banda da rede em vez da CPU. Embora o Meson possa ser um serviço legítimo, isso mostra que os invasores estão sempre em busca de novas maneiras de fazer dinheiro.”
Com os ambientes de nuvem se tornando cada vez mais um alvo lucrativo para os agentes de ameaças, é elementary manter o software program atualizado e monitorar atividades suspeitas.
A empresa de inteligência de ameaças Permiso também lançou uma ferramenta chamada CloudGrappler, que é construída sobre os fundamentos do cloudgrep e verifica AWS e Azure em busca de sinalização de eventos maliciosos relacionados a atores de ameaças conhecidos.
