Pesquisadores de cibersegurança lançaram luz sobre uma ferramenta chamada AndroxGh0st, que é usada para atacar aplicativos Laravel e roubar dados sensíveis.
"Ela funciona escaneando e retirando informações importantes de arquivos .env, revelando detalhes de login vinculados à AWS e Twilio", disse Kashinath T Pattan, pesquisador do Juniper Threat Labs.
"Classificado como um cracker SMTP, explora o SMTP usando várias estratégias, como exploração de credenciais, implantação de shell web e varredura de vulnerabilidades."
AndroxGh0st tem sido detectado na natureza desde pelo menos 2022, com atores de ameaça utilizando-o para acessar arquivos ambientais Laravel e roubar credenciais para várias aplicações baseadas em nuvem, como Amazon Web Services (AWS), SendGrid e Twilio.
Cadeias de ataque envolvendo o malware Python são conhecidas por explorar falhas de segurança conhecidas no Apache HTTP Server, Laravel Framework e PHPUnit para ganhar acesso inicial e para escalada e persistência de privilégios.
Logo em janeiro deste ano, agências de inteligência e cibersegurança dos EUA alertaram sobre os atacantes que implementam o malware AndroxGh0st para criar uma botnet para "identificação e exploração de vítimas nas redes alvo".
"Androxgh0st ganha entrada por meio de uma fraqueza no Apache, identificada como
CVE-2021-41773
, permitindo-lhe acessar sistemas vulneráveis", explicou Pattan.
"Após isso, explora vulnerabilidades adicionais, especificamente
CVE-2017-9841
e
CVE-2018-15133
, para executar códigos e estabelecer controle persistente, essencialmente assumindo os sistemas alvo."
Androxgh0st é projetado para exfiltrar dados sensíveis de várias fontes, incluindo arquivos .env, bancos de dados e credenciais de nuvem.
Isso permite aos atores de ameaças entregar payloads adicionais para sistemas comprometidos.
O Juniper Threat Labs disse ter observado um aumento na atividade relacionada à exploração do
CVE-2017-9841
, tornando essencial que os usuários actualizem rapidamente suas instâncias para a versão mais recente.
Grande parte das tentativas de ataque ao seu honeypot veio dos EUA, Reino Unido, China, Holanda, Alemanha, Bulgária, Kuwait, Rússia, Estónia e Índia.
A descoberta ocorre quando o Centro de Inteligência de Segurança AhnLab (ASEC) revelou que servidores WebLogic vulneráveis localizados na Coreia do Sul estão sendo atacados por adversários e usados como servidores de download para distribuir um minerador de criptomoedas chamado z0Miner e outras ferramentas como o proxy reverso rápido (FRP).
Também segue-se à descoberta de uma campanha maliciosa que infiltra instâncias AWS para criar mais de 6.000 instâncias EC2 em minutos e implantar um binário associado a uma rede de distribuição de conteúdo descentralizada (CDN) conhecida como Meson Network.
A empresa sediada em Singapura, que pretende criar o "maior mercado de largura de banda do mundo", funciona permitindo aos usuários trocar sua largura de banda e recursos de armazenamento ocioso por tokens da Meson (ou seja, recompensas).
Isso significa que os mineiros receberão tokens Meson como recompensa por fornecer servidores para a plataforma Meson Network, e a recompensa será calculada com base na quantidade de largura de banda e armazenamento trazidos para a rede, disse a Sysdig em um relatório técnico publicado este mês.
"Não se trata mais apenas de minerar criptomoedas.
Serviços como a rede Meson querem aproveitar o espaço do disco rígido e a largura de banda da rede em vez da CPU.
Enquanto o Meson pode ser um serviço legítimo, isso mostra que os atacantes estão sempre à procura de novas maneiras de ganhar dinheiro."
Com ambientes de nuvem se tornando cada vez mais um alvo lucrativo para os atores de ameaças, é fundamental manter o software atualizado e monitorar a atividade suspeita.
A empresa de inteligência de ameaças Permiso também lançou uma ferramenta chamada CloudGrappler, que é construída no topo das fundações do cloudgrep e varre AWS e Azure para sinalizar eventos maliciosos relacionados a atores de ameaças conhecidos.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...