CISA และ FBI แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีใช้ Androxgh0st botnet ในการโจมตี เพื่อขโมยข้อมูล credential บน Cloud และใช้ข้อมูลที่ขโมยมาในการส่ง Payload ที่เป็นอันตรายไปยังเป้าหมาย
Androxgh0st botnet ถูกพบครั้งแรกโดย Lacework Labs ในปี 2022 และเข้าควบคุมอุปกรณ์ไปกว่า 40,000 เครื่อง ตามข้อมูลของ Fortiguard Labs โดยมันจะทำการสแกนหาเว็บไซต์ และเซิร์ฟเวอร์ที่มีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) CVE-2017-9841 (ช่องโหว่ PHPUnit unit testing framework), CVE-2021-41773 (ช่องโหว่ Apache HTTP Server) และ CVE-2018-15133 (ช่องโหว่ Laravel PHP web framework)
Androxgh0st เป็น Python-scripted malware ซึ่งกำหนดเป้าหมายการโจมตีไปยังไฟล์ .env ที่มีข้อมูลที่เป็นความลับ เช่น ข้อมูล confidential สำหรับแอปพลิเคชันที่มีความสำคัญต่าง ๆ (เช่น Amazon Web Services [AWS], Microsoft Office 365, SendGrid และ Twilio จาก Laravel web application framework) รวมถึงยังสนับสนุนฟีเจอร์การโจมตีมากมายที่สามารถใช้ Simple Mail Transfer Protocol (SMTP) ในการโจมตี เช่น การสแกน และการใช้ประโยชน์จากข้อมูล credentials ที่ถูกเปิดเผย, Application Programming Interfaces (API) และการใช้ Web Shell
เมื่อ Androxgh0st สามารถขโมยข้อมูล credentials ได้แล้วก็จะดำเนินการในขั้นต่อไป โดยหนึ่งในสองฟังก์ชันหลักที่ใช้กับข้อมูล credentials ที่ขโมยมาที่พบบ่อยที่สุดคือการตรวจสอบขีดจำกัดการส่งอีเมลสำหรับบัญชี เพื่อประเมินว่าสามารถใช้ประโยชน์จากการสแปมได้หรือไม่ รวมถึงยังพบว่าผู้ไม่ประสงค์ดีจะสร้างเพจปลอมบนเว็บไซต์ที่ถูกโจมตี โดยใช้ backdoor เพื่อเข้าถึงฐานข้อมูลที่มีข้อมูลที่มีความสำคัญ และติดตั้งเครื่องมือที่เป็นอันตราย รวมถึงเมื่อสามารถขโมยข้อมูล credentials ของ AWS บนเว็บไซต์ที่มีช่องโหว่ได้สำเร็จแล้ว ก็จะลองสร้างผู้ใช้ และ Policy ของผู้ใช้งานใหม่อีกด้วย นอกจากนี้ Andoxgh0st ยังใช้ข้อมูล credentials ที่ขโมยมาเพื่อค้นหา AWS instance ใหม่สำหรับการสแกนเป้าหมายที่มีช่องโหว่เพิ่มเติมผ่านอินเทอร์เน็ต
FBI และ CISA ได้แนะนำให้ผู้ดูแลระบบทำการปกป้องเครือข่ายด้วยมาตรการเหล่านี้ เพื่อจำกัดผลกระทบของการโจมตีจาก Androxgh0st และลดความเสี่ยงในการถูกควบคุมระบบ:
- อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ทั้งหมดให้ทันสมัยอยู่เสมอ ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ Apache ไม่ได้ใช้เวอร์ชัน 2.4.49 หรือ 2.4.50
- ตรวจสอบว่าการกำหนดค่าเริ่มต้นสำหรับ all URIs คือ deny all requests ทั้งหมด เว้นแต่จะมีความจำเป็นเฉพาะที่สามารถเข้าถึงได้
- ตรวจสอบให้แน่ใจว่า Laravel application ที่ใช้งาน ไม่อยู่ใน “debug” หรือโหมดการทดสอบ หากมี ให้ทำการลบข้อมูล credentials ระบบคลาวด์ทั้งหมดออกจากไฟล์ .env และยกเลิกการใช้งานทั้งหมด
- ใช้ one-time basis สำหรับข้อมูล credentials ระบบคลาวด์ที่เก็บไว้ก่อนหน้านี้ และข้อมูล credentials ประเภทอื่น ๆ ที่ไม่สามารถลบออกได้อย่างต่อเนื่อง ให้ตรวจสอบแพลตฟอร์ม หรือบริการใด ๆ ที่มีข้อมูล credentials อยู่ในไฟล์ .env สำหรับการเข้าถึง หรือใช้งานโดยไม่ได้รับอนุญาต
- สแกนระบบไฟล์ของเซิร์ฟเวอร์เพื่อหาไฟล์ PHP ที่ไม่รู้จัก โดยเฉพาะใน root directory หรือโฟลเดอร์ /vendor/phpunit/phpunit/src/Util/PHP
- ตรวจสอบ GET requests (via cURL command) ขาออก ไปยังเว็บไซต์โฮสต์ไฟล์ เช่น GitHub, Pastebin ฯลฯ โดยเฉพาะอย่างยิ่งเมื่อมี request เพื่อเข้าถึงไฟล์ .php
- รวมถึง FBI ยังได้ขอข้อมูลเกี่ยวกับมัลแวร์ Androxgh0st จากองค์กรที่ตรวจจับพฤติกรรมที่น่าสงสัย หรืออาชญากรรมที่เชื่อมโยงกับการโจมตีดังกล่าว
ทั้งนี้ทาง CISA ได้เพิ่ม CVE-2018-15133 (Laravel deserialization of untrusted data vulnerability) ไปใน Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่ถูกใช้ในการโจมตีแล้ว อิงตามหลักฐานของการโจมตีที่พบในปัจจุบัน และได้สั่งให้หน่วยงานรัฐบาลกลางทำการแก้ไขช่องโหว่ดังกล่าวภายในวันที่ 6 กุมภาพันธ์ 2024
รวมถึงช่องโหว่ CVE-2021-41773 (Apache HTTP Server path traversal) และ CVE-2017-9841 (PHPUnit command injection) ได้ถูกเพิ่มลง KEV แล้วเช่นกันตั้งแต่เดือนพฤศจิกายน 2021 และกุมภาพันธ์ 2022 ตามลำดับ
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น