هشدار اف‌بی‌آی و سیسا در مورد سرقت مدارک بات‌نت Androxgh0st

پنکا هریستوفسکا
به روز شده در: ژانویه 17، 2024

آژانس‌های سایبری ایالات متحده روز سه‌شنبه اعلام کردند هکرهای پشت بدافزار Androxgh0st در حال ایجاد یک بات‌نت هستند که قادر به سرقت اعتبارنامه‌های ابری از پلتفرم‌های بزرگ است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و اداره تحقیقات فدرال (FBI) گزارشی را منتشر کردند. مشاوره مشترک در مورد یافته های تحقیقات در حال انجام در مورد استراتژی های به کار گرفته شده توسط هکرها با استفاده از بدافزار.

این بدافزار اولین بار در دسامبر 2022 توسط Lacework Labs شناسایی شد.

به گفته این آژانس ها، هکرها از Androxgh0st برای ایجاد یک بات نت «برای شناسایی قربانی و بهره برداری در شبکه های هدف» استفاده می کنند. بات‌نت به دنبال فایل‌های .env می‌گردد، که مجرمان سایبری اغلب آنها را هدف قرار می‌دهند زیرا حاوی اعتبارنامه‌ها و نشانه‌ها هستند. آژانس‌ها گفتند این اعتبارنامه‌ها از «برنامه‌های با مشخصات بالا» مانند Microsoft Office 365، SendGrid، Amazon Web Services و Twilio هستند.

FBI و CISA توضیح دادند: «بدافزار Androxgh0st همچنین از عملکردهای متعددی پشتیبانی می‌کند که می‌توانند از پروتکل انتقال ایمیل ساده (SMTP) مانند اسکن و بهره‌برداری از اعتبارنامه‌های افشا شده و رابط‌های برنامه‌نویسی برنامه (API) و استقرار پوسته وب پشتیبانی کنند.

این بدافزار در کمپین هایی با هدف شناسایی و هدف قرار دادن وب سایت هایی با آسیب پذیری های خاص استفاده می شود. این بات نت از چارچوب لاراول، ابزاری برای توسعه برنامه های کاربردی وب، برای جستجوی وب سایت ها استفاده می کند. هنگامی که وب‌سایت‌ها را پیدا کرد، هکرها سعی می‌کنند تعیین کنند که آیا فایل‌های خاصی قابل دسترسی هستند و آیا آنها حاوی اعتبار هستند یا خیر.

مشاوره CISA و FBI به یک آسیب‌پذیری وصله‌شده حیاتی در لاراول اشاره می‌کند که با نام CVE-2018-15133 شناسایی شده است، که بات‌نت برای دسترسی به اعتبارنامه‌ها، مانند نام‌های کاربری و رمزهای عبور خدماتی مانند ایمیل (با استفاده از SMTP) و حساب‌های AWS از آن سوء استفاده می‌کند.

در این توصیه نامه آمده است: «اگر عاملان تهدید برای هر سرویسی اعتبارنامه دریافت کنند... ممکن است از این اعتبارنامه ها برای دسترسی به داده های حساس یا استفاده از این سرویس ها برای انجام عملیات مخرب اضافی استفاده کنند».

برای مثال، زمانی که عوامل تهدید با موفقیت اعتبار AWS را از یک وب‌سایت آسیب‌پذیر شناسایی کرده و به خطر می‌اندازند، مشاهده می‌شود که تلاش می‌کنند کاربران و خط‌مشی‌های کاربر جدیدی ایجاد کنند. علاوه بر این، بازیگران Andoxgh0st مشاهده شده‌اند که نمونه‌های جدید AWS را برای انجام فعالیت‌های اسکن اضافی ایجاد می‌کنند.» این آژانس‌ها توضیح می‌دهند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/