Los investigadores de ciberseguridad han arrojado luz sobre una herramienta denominada AndroxGh0st que se utiliza para apuntar a aplicaciones Laravel y robar datos confidenciales.
«Funciona escaneando y extrayendo información importante de los archivos .env, revelando detalles de inicio de sesión vinculados a AWS y Twilio», investigador de Juniper Threat Labs, Kashinath T Pattan. dicho.
«Clasificado como un cracker SMTP, explota SMTP utilizando varias estrategias, como explotación de credenciales, implementación de shell web y escaneo de vulnerabilidades».
AndroxGh0st se ha detectado en estado salvaje desde al menos 2022, y los actores de amenazas lo aprovechan para acceder a archivos del entorno Laravel y robar credenciales para varias aplicaciones basadas en la nube como Amazon Web Services (AWS), SendGrid y Twilio.
Se sabe que las cadenas de ataques que involucran el malware Python explotan fallas de seguridad conocidas en Apache HTTP Server, Laravel Framework y PHPUnit para obtener acceso inicial y escalar privilegios y persistencia.
A principios de enero, las agencias de inteligencia y ciberseguridad de EE. UU. prevenido de atacantes que implementan el malware AndroxGh0st para crear una botnet para «identificar y explotar víctimas en redes objetivo».
«Androxgh0st ingresa por primera vez a través de una debilidad en Apache, identificada como CVE-2021-41773, lo que le permite acceder a sistemas vulnerables», explicó Pattan.
«Después de esto, explota vulnerabilidades adicionales, específicamente CVE-2017-9841 y CVE-2018-15133, para ejecutar código y establecer un control persistente, esencialmente asumiendo el control de los sistemas objetivo».
Androxgh0st está diseñado para filtrar datos confidenciales de diversas fuentes, incluidos archivos .env, bases de datos y credenciales de la nube. Esto permite a los actores de amenazas entregar cargas útiles adicionales a los sistemas comprometidos.
Juniper Threat Labs dijo que ha observado un aumento en la actividad relacionada con la explotación de CVE-2017-9841, por lo que es esencial que los usuarios actúen rápidamente para actualizar sus instancias a la última versión.
La mayoría de los intentos de ataque dirigidos a su infraestructura de honeypot se originaron en EE. UU., Reino Unido, China, Países Bajos, Alemania, Bulgaria, Kuwait, Rusia, Estonia e India, añadió.
El desarrollo se produce como el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló que los servidores vulnerables de WebLogic ubicados en Corea del Sur están siendo atacados por adversarios y los utilizaron como servidores de descarga para distribuir un minero de criptomonedas llamado z0Minero y otras herramientas como el proxy inverso rápido (FRP).
También sigue al descubrimiento de una campaña maliciosa que se infiltra en instancias de AWS para crear más de 6000 instancias EC2 en minutos e implementar un binario asociado con una red de entrega de contenido (CDN) descentralizada conocida como Red de mesones.
La empresa con sede en Singapur, que pretende crear el «mercado de ancho de banda más grande del mundo», funciona permitiendo a los usuarios intercambiar su ancho de banda inactivo y recursos de almacenamiento con Meson por tokens (es decir, recompensas).
«Esto significa que los mineros recibirán tokens Meson como recompensa por proporcionar servidores a la plataforma Meson Network, y la recompensa se calculará en función de la cantidad de ancho de banda y almacenamiento incorporado a la red», Sysdig dicho en un informe técnico publicado este mes.
«Ya no se trata solo de extraer criptomonedas. Servicios como la red Meson quieren aprovechar el espacio del disco duro y el ancho de banda de la red en lugar de la CPU. Si bien Meson puede ser un servicio legítimo, esto demuestra que los atacantes siempre están buscando nuevas formas de hacer dinero. dinero.»
Dado que los entornos de nube se están convirtiendo cada vez más en un objetivo lucrativo para los actores de amenazas, es fundamental mantener el software actualizado y monitorear actividades sospechosas.
La firma de inteligencia de amenazas Permiso también ha liberado una herramienta llamada CloudGrapplerque está construido sobre los cimientos de nubegrep y escanea AWS y Azure para detectar eventos maliciosos relacionados con actores de amenazas conocidos.