CISA y el FBI han advertido hoy de que los actores de amenazas que utilizan el malware Androxgh0st están construyendo una botnet centrada en robar credenciales de la nube y utilizar la información robada para propagar otras cargas maliciosas.
Detectada por primera vez por Lacework Labs en 2022, la red de bots busca sitios web y servidores que ejecuten versiones del marco de pruebas unitario PHPUnit, el marco web PHP y el servidor web Apache con vulnerabilidades de ejecución remota de código (RCE).
Las vulnerabilidades RCE objetivo de estos ataques incluyen CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) y CVE-2018-15133 (Laravel).
«Androxgh0st es un malware de secuencias de comandos Python utilizado principalmente para atacar archivos .env que contienen información confidencial, como credenciales para varias aplicaciones de alto nivel (a saber, Amazon Web Services [AWS], Microsoft Office 365, SendGrid y Twilio del marco de aplicaciones web Laravel)», advierten ambos organismos.
«El malware Androxgh0st también soporta numerosas funciones capaces de abusar del Protocolo Simple de Transferencia de Correo (SMTP), como analizar y explotar credenciales e interfaces de programación de aplicaciones (API) expuestas, así como desplegar un shell web.»
Las credenciales robadas de Twilio y SendGrid pueden ser utilizadas por los actores de amenazas para llevar a cabo campañas de spam haciéndose pasar por empresas infectadas.
«Dependiendo del uso, AndroxGh0st puede realizar una de dos funciones principales en las credenciales adquiridas. La más comúnmente observada es comprobar el límite de correo electrónico de la cuenta para evaluar si puede utilizarse para enviar spam», según Lacework.
Se ha observado a los atacantes creando páginas falsas en sitios web comprometidos, lo que les proporciona una puerta trasera para acceder a bases de datos que contienen información sensible y desplegar otras herramientas maliciosas esenciales para sus operaciones.
Después de identificar y comprometer con éxito las credenciales de AWS en un sitio web vulnerable, también intentaron crear nuevos usuarios y políticas de usuario.
Además, los operadores de Andoxgh0st están utilizando las credenciales robadas para lanzar nuevas instancias de AWS para escanear otros objetivos vulnerables en Internet.
El FBI y CISA aconsejan a los defensores de la red que apliquen las siguientes medidas de mitigación para limitar el impacto de los ataques de malware Androxgh0st y reducir el riesgo de compromiso:
- Asegúrese de que todos los sistemas operativos, software y firmware están actualizados. En particular, asegúrese de que los servidores Apache no estén ejecutando las versiones 2.4.49 o 2.4.50.
- Compruebe que la configuración por defecto de todas las URIs es denegar todas las peticiones a menos que exista una necesidad específica de que la URI sea accesible.
- Asegúrese de que las aplicaciones Laravel no están en modo «debug» o «testing». Elimine todas las credenciales de nube de los archivos .env y revóquelas.
- De una vez por todas para las credenciales en la nube almacenadas previamente, y de forma continua para otros tipos de credenciales que no puedan eliminarse, revise todas las plataformas o servicios cuyas credenciales figuren en el archivo .env para verificar que no son objeto de acceso o uso no autorizados.
- Examine el sistema de archivos del servidor en busca de archivos PHP no reconocidos, en particular en el directorio raíz o en la carpeta /vendor/phpunit/phpunit/src/Util/PHP.
- Examine las solicitudes GET salientes (mediante el comando cURL) a sitios de alojamiento de archivos como GitHub, pastebin, etc., en particular cuando la solicitud acceda a un archivo .php.
El FBI también ha solicitado información sobre el malware Androxgh0st a las organizaciones que detecten actividades sospechosas o delictivas relacionadas con esta amenaza.
CISA ha añadido hoy la vulnerabilidad CVE-2018-15133 Laravel deserialization of untrusted data a su Catálogo de Vulnerabilidades Explotadas Conocidas basándose en esta evidencia de explotación activa.
La agencia de ciberseguridad estadounidense también ha ordenado a las agencias federales que aseguren sus sistemas contra estos ataques antes del 6 de febrero.
Las vulnerabilidades CVE-2021-41773 Apache HTTP Server path traversal y CVE-2017-9841 PHPUnit command injection se añadieron al catálogo en noviembre de 2021 y febrero de 2022, respectivamente.