El malware Androxgh0st ha sido identificado como el
responsable de establecer una botnet con el propósito de identificar y explotar
objetivos dentro de las redes. Informes de código abierto indican que
Androxgh0st es un malware programado en Python, y su principal enfoque radica
en atacar archivos .env que almacenan información delicada, incluyendo
credenciales de aplicaciones destacadas como Amazon Web Services (AWS),
Microsoft Office 365, SendGrid y Twilio a través del marco de aplicación web
Laravel. Además, Androxgh0st presenta diversas capacidades que permiten abusar
del Protocolo Simple de Transferencia de Correo (SMTP), como la exploración y
explotación de credenciales expuestas, así como interfaces de Programación de
Aplicaciones (API), junto con la implementación de shell web.
Androxgh0st utiliza tácticas, técnicas y procedimientos
(TTP) que incluyen el uso de scripts y escaneos para buscar vulnerabilidades en
sitios web específicos. Se destaca que los actores de amenazas aprovechan la
vulnerabilidad CVE-2017-9841 para ejecutar código PHP de forma remota en sitios
web vulnerables que utilizan PHPUnit.
Una de las acciones específicas observadas implica
solicitudes maliciosas "HTTP POST" dirigidas a un URI específico en
sitios web con carpetas expuestas "/vendor". Esta solicitud activa
una página PHP que ejecuta el código enviado a través de la solicitud POST,
permitiendo a los actores maliciosos ejecutar código de forma remota en el
sitio web afectado. Se sugiere que los actores maliciosos podrían utilizar
Androxgh0st para descargar archivos maliciosos en el sistema que alberga el sitio
web y configurar páginas falsas para establecer accesos de puerta trasera,
facilitando la descarga de archivos adicionales y el acceso a bases de datos.
Androxgh0stse enfoca en buscar sitios web que utilizan el
marco de aplicación web Laravel. Después de identificar estos sitios, los
atacantes buscan exponer el archivo .env, que almacena credenciales valiosas.
Emiten solicitudes GET o POST para acceder a este archivo, lo que les permite
robar nombres de usuario y contraseñas, especialmente vinculadas a servicios
como correo electrónico y cuentas de AWS.
Además puede obtener la clave de aplicación de Laravel en el
sitio web, cifrar el código PHP y enviarlo al sitio web a través de una cookie
XSRF-TOKEN. Al explotar la vulnerabilidad CVE-2018-15133 en Laravel, logran
ejecución remota de código, permitiéndoles cargar archivos en el sitio web de
forma remota.
En relación con la vulnerabilidad CVE-2021-41773, los
actores de Androxgh0st llevan a cabo escaneos en servidores web vulnerables que
ejecutan versiones 2.4.49 o 2.4.50 del servidor HTTP Apache. Estos actores
utilizan un ataque de recorrido de ruta para identificar URL de archivos fuera
del directorio raíz. Si estos archivos no están protegidos adecuadamente y los
scripts CGI están habilitados, esto podría resultar en la ejecución remota de
código.
En caso de obtener credenciales mediante estos métodos, los
actores de amenazas pueden utilizarlas para acceder a datos confidenciales o
realizar acciones maliciosas adicionales. Por ejemplo, al comprometer con éxito
las credenciales de AWS de un sitio web vulnerable, se ha observado que
intentan crear nuevos usuarios y políticas de usuario. Además, crean nuevas
instancias de AWS para llevar a cabo actividades de escaneo adicionales.
Puede descargar de este link de CISA una copia descargable
de los IOC
Se recomienda implementar las siguientes medidas de
mitigación para fortalecer la postura de ciberseguridad de su organización
frente a la actividad de los actores de amenazas Androxgh0st. Estas sugerencias
son aplicables a todas las organizaciones, especialmente aquellas que forman
parte de la infraestructura crítica y defensores de redes.
1. Mantenimiento actualizado
- Actualice
regularmente todos los sistemas operativos, software y firmware. Asegúrese de
que los servidores Apache no estén ejecutando las versiones 2.4.49 o 2.4.50.
2. Configuración URI predeterminada:
- Verifique que la
configuración predeterminada para todos los URI sea denegar todas las
solicitudes, a menos que haya una necesidad específica de accesibilidad. Esto
ayuda a limitar el uso de técnicas de descubrimiento por parte de los
adversarios.
3. Modo de "depuración" de aplicaciones Laravel:
- Asegúrese de que
las aplicaciones Laravel activas no estén en modo de "depuración" o
prueba. Elimine y revoque todas las credenciales de la nube de los archivos
.env, utilizando métodos más seguros proporcionados por los proveedores de la
nube para credenciales temporales y rotativas.
4. Revisión continua de credenciales:
- Revise de forma
única para las credenciales de la nube previamente almacenadas y de forma
continua para otros tipos de credenciales que no se pueden eliminar. Examine
cualquier plataforma o servicio con credenciales enumeradas en el archivo .env
para prevenir el acceso o uso no autorizado.
5. Escaneo del sistema de archivos:
- Realice escaneos
en el sistema de archivos del servidor en busca de archivos PHP no reconocidos,
especialmente en el directorio o en la carpeta raíz
/vendor/phpunit/phpunit/src/Util/PHP
6. Monitoreo de solicitudes GET salientes:
- Revise las
solicitudes GET salientes, especialmente aquellas realizadas mediante el
comando cURL, a sitios de alojamiento de archivos como GitHub, Pastebin, etc.
Esto es crucial, especialmente cuando la solicitud accede a un archivo .php.
En MBtech, ofrecemos servicios de seguridad adaptados a las
particularidades de cada empresa. No solo valoramos la relevancia de
resguardarse contra amenazas cibernéticas, sino que también nos dedicamos a
crear y poner en práctica estrategias específicas y personalizadas que se
adecuen a las necesidades particulares y se adapten a la constante evolución
del entorno de la ciberseguridad.
Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
