CISA et le FBI ont averti aujourd’hui que les acteurs de la menace utilisant le logiciel malveillant Androxgh0st construisent un botnet axé sur le vol d’informations d’identification dans le cloud et utilisent les informations volées pour fournir des charges utiles malveillantes supplémentaires.
Repéré pour la première fois par Lacework Labs en 2022, le botnet recherche des sites Web et des serveurs à l’aide de versions du framework de test unitaire PHPUnit, du framework Web PHP et du serveur Web Apache avec des vulnérabilités d’exécution de code à distance (RCE).
Les failles RCE ciblées par ces attaques incluent CVE-2017-9841 (PHPUnit), CVE-2021-41773 (serveur HTTP Apache) et CVE-2018-15133 (Laravel).
« Androxgh0st est un malware scripté en Python principalement utilisé pour cibler .fichiers env contenant des informations confidentielles, telles que des informations d’identification pour diverses applications de premier plan (Amazon Web Services [AWS], Microsoft Office 365, SendGrid et Twilio du framework d’applications Web Laravel) », ont averti les deux agences.
« Le logiciel malveillant Androxgh0st prend également en charge de nombreuses fonctions capables d’abuser du protocole SMTP (Simple Mail Transfer Protocol), telles que l’analyse et l’exploitation des informations d’identification exposées et des interfaces de programmation d’applications (API), ainsi que le déploiement d’un shell Web. »
Les identifiants Twilio et SendGrid volés peuvent être utilisés par les acteurs de la menace pour mener des campagnes de spam usurpant l’identité des entreprises violées.
« Selon l’utilisation, AndroxGh0st peut exécuter l’une des deux fonctions principales par rapport aux informations d’identification acquises. Le plus couramment observé consiste à vérifier la limite d’envoi d’e-mails pour le compte afin d’évaluer s’il peut être utilisé pour le spam », selon Lacework.
Les attaquants ont été observés en train de créer de fausses pages sur des sites Web compromis, leur fournissant une porte dérobée pour accéder à des bases de données contenant des informations sensibles et pour déployer davantage d’outils malveillants vitaux pour leurs opérations.
Après avoir réussi à identifier et à compromettre les informations d’identification AWS sur un site Web vulnérable, ils ont également essayé de créer de nouveaux utilisateurs et stratégies d’utilisateur.
De plus, les opérateurs Andoxgh0st utilisent des informations d’identification volées pour lancer de nouvelles instances AWS afin d’analyser des cibles vulnérables supplémentaires sur Internet.
Le FBI et la CIA conseillent aux défenseurs du réseau de mettre en œuvre les mesures d’atténuation suivantes pour limiter l’impact des attaques de logiciels malveillants Androxgh0st et réduire le risque de compromission:
- Gardez tous les systèmes d’exploitation, logiciels et micrologiciels à jour. Plus précisément, assurez-vous que les serveurs Apache n’exécutent pas les versions 2.4.49 ou 2.4.50.
- Vérifiez que la configuration par défaut pour tous les URI est de refuser toutes les requêtes à moins qu’il y ait un besoin spécifique pour qu’elles soient accessibles.
- Assurez-vous que toutes les applications Laravel en direct ne sont pas en mode “débogage” ou test. Supprimez toutes les informations d’identification du cloud de .fichiers env et les révoquer.
- Une seule fois pour les informations d’identification cloud précédemment stockées et de manière continue pour les autres types d’informations d’identification qui ne peuvent pas être supprimées, examinez les plates-formes ou les services dont les informations d’identification sont répertoriées dans le .fichier env pour accès ou utilisation non autorisés.
- Analysez le système de fichiers du serveur à la recherche de fichiers PHP non reconnus, en particulier dans le répertoire racine ou le dossier /vendor/phpunit/phpunit/src/Util/PHP.
- Examinez les demandes GET sortantes (via la commande cURL) vers des sites d’hébergement de fichiers tels que GitHub, pastebin,etc., en particulier lorsque la requête accède à a.fichier php.
Le FBI a également demandé des informations sur les logiciels malveillants Androxgh0st aux organisations qui détectent des activités suspectes ou criminelles liées à cette menace.
CISA a ajouté la désérialisation CVE-2018-15133 Laravel de la vulnérabilité de données non fiables à son Catalogue de vulnérabilités exploitées connues aujourd’hui sur la base de ces preuves d’exploitation active.
L’agence américaine de cybersécurité a également ordonné aux agences fédérales de sécuriser leurs systèmes contre ces attaques d’ici le 6 février.
Les vulnérabilités de traversée de chemin du serveur HTTP Apache CVE-2021-41773 et d’injection de commande PHPUnit CVE-2017-9841 ont été ajoutées au catalogue en novembre 2021 et février 2022, respectivement.