Siber güvenlik araştırmacıları, şu şekilde adlandırılan bir araca ışık tuttu: AndroxGh0st Laravel uygulamalarını hedeflemek ve hassas verileri çalmak için kullanılır.
Juniper Threat Labs araştırmacısı Kashinath T Pattan, “Bu, .env dosyalarındaki önemli bilgileri tarayıp çıkararak ve AWS ve Twilio ile bağlantılı oturum açma ayrıntılarını ortaya çıkararak çalışıyor.” söz konusu.
“SMTP kırıcı olarak sınıflandırılan bu program, kimlik bilgilerinin kullanılması, web kabuğu dağıtımı ve güvenlik açığı taraması gibi çeşitli stratejiler kullanarak SMTP’den yararlanıyor.”
AndroxGh0st, en az 2022’den beri ortalıkta tespit ediliyor; tehdit aktörleri Laravel ortam dosyalarına erişmek ve Amazon Web Services (AWS), SendGrid ve Twilio gibi çeşitli bulut tabanlı uygulamaların kimlik bilgilerini çalmak için bundan yararlanıyor.
Python kötü amaçlı yazılımını içeren saldırı zincirlerinin, ilk erişimi elde etmek ve ayrıcalık yükseltme ve kalıcılık sağlamak için Apache HTTP Sunucusu, Laravel Framework ve PHPUnit’teki bilinen güvenlik kusurlarından yararlandığı bilinmektedir.
Bu Ocak ayının başlarında, ABD siber güvenlik ve istihbarat teşkilatları, saldırganların “kurbanların tespit edilmesi ve hedef ağlarda istismar edilmesi” amacıyla bir botnet oluşturmak amacıyla AndroxGh0st kötü amaçlı yazılımını dağıttığı konusunda uyardı.
Pattan, “Androxgh0st ilk olarak Apache’deki CVE-2021-41773 olarak tanımlanan bir zayıflık üzerinden giriş elde ederek savunmasız sistemlere erişmesine olanak tanıyor” dedi.
“Bunu takiben, kod yürütmek ve kalıcı kontrol oluşturmak, esasen hedeflenen sistemleri ele geçirmek için özellikle CVE-2017-9841 ve CVE-2018-15133 olmak üzere ek güvenlik açıklarından yararlanıyor.”
Androxgh0st, .env dosyaları, veritabanları ve bulut kimlik bilgileri dahil olmak üzere çeşitli kaynaklardan hassas verileri sızdırmak üzere tasarlanmıştır. Bu, tehdit aktörlerinin ele geçirilen sistemlere ek yükler göndermesine olanak tanır.
Juniper Threat Labs, CVE-2017-9841’in kötüye kullanılmasıyla ilgili faaliyetlerde bir artış gözlemlediğini, bunun da kullanıcıların örneklerini en son sürüme güncellemek için hızlı hareket etmelerinin gerekli olduğunu söyledi.
Honeypot altyapısını hedef alan saldırı girişimlerinin çoğunluğunun ABD, İngiltere, Çin, Hollanda, Almanya, Bulgaristan, Kuveyt, Rusya, Estonya ve Hindistan’dan kaynaklandığı belirtildi.
Gelişme AhnLab Güvenlik İstihbarat Merkezi (ASEC) olarak geliyor açıklığa kavuşmuş Güney Kore’de bulunan savunmasız WebLogic sunucularının rakipler tarafından hedef alındığını ve bunları z0Miner adlı bir kripto para madencisini ve hızlı ters proxy (FRP) gibi diğer araçları dağıtmak için indirme sunucuları olarak kullandığını söyledi.
Bu aynı zamanda, AWS bulut sunucularına sızarak dakikalar içinde 6.000’den fazla EC2 bulut sunucusu oluşturup, merkezi olmayan bir içerik dağıtım ağı (CDN) ile ilişkili bir ikili programı dağıtmak için AWS bulut sunucularına sızan kötü amaçlı bir kampanyanın keşfedilmesini de takip ediyor. Mezon Ağı.
“Dünyanın en büyük bant genişliği pazarını” yaratmayı amaçlayan Singapur merkezli şirket, kullanıcıların boş bant genişliğini ve depolama kaynaklarını Meson ile jeton (yani ödüller) karşılığında değiştirmelerine olanak tanıyarak çalışıyor.
Sysdig, “Bu, madencilerin Meson Network platformuna sunucu sağlama karşılığında ödül olarak Meson tokenleri alacakları ve ödülün ağa getirilen bant genişliği ve depolama miktarına göre hesaplanacağı anlamına geliyor.” söz konusu Bu ay yayınlanan teknik bir raporda.
“Artık her şey kripto para madenciliği ile ilgili değil. Meson ağı gibi hizmetler, CPU yerine sabit disk alanından ve ağ bant genişliğinden yararlanmak istiyor. Meson meşru bir hizmet olsa da, bu, saldırganların her zaman kripto para birimi madenciliği yapmak için yeni yollar aradığını gösteriyor. para.”
Bulut ortamlarının tehdit aktörleri için giderek daha kazançlı bir hedef haline gelmesiyle birlikte yazılımı güncel tutmak ve şüpheli etkinlikleri izlemek kritik önem taşıyor.
Tehdit istihbaratı firması Permiso da piyasaya sürülmüş adı verilen bir araç CloudGrapplertemelleri üzerine inşa edilmiş olan Cloudgrep ve tanınmış tehdit aktörleriyle ilgili kötü amaçlı olayları işaretlemek için AWS ve Azure’u tarar.
