El gobierno de EE. UU. ha instado a las organizaciones a tomar medidas para protegerse contra el malware Androxgh0st, que utilizan los actores de amenazas para la identificación y explotación de víctimas en las redes de destino.
Un aviso conjunto del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del 16 de enero de 2024 advirtió que Androxgh0st respalda numerosas actividades nefastas en redes vulneradas.
Se ha observado que el malware basado en Python establece una botnet para identificar y explotar a las víctimas. Se dirige principalmente a archivos .env que contienen información confidencial, como credenciales, en aplicaciones de alto perfil como Amazon Web Services, MS Office 365 y SendGrid.
El aviso señaló que el malware Androxgh0st admite varias funciones capaces de abusar del Protocolo simple de transferencia de correo (SMTP), como escanear y explotar credenciales expuestas e interfaces de programación de aplicaciones (API).
El FBI y CISA destacaron tres vulnerabilidades específicas que están siendo explotadas por actores de amenazas al implementar Androxgh0st, lo que podría conducir a la ejecución remota de código:
CVE-2017-9841: Los atacantes ejecutan de forma remota código de preprocesador de hipertexto (PHP) en sitios web falibles a través de PHPUnit. Esto somete a los sitios web que utilizan el módulo PHPUnit que tienen carpetas accesibles a Internet a solicitudes HTTP POST maliciosas. Una vez que el actor de la amenaza ejecuta el código de forma remota, Androxgh0st se utiliza para descargar archivos maliciosos al sistema que aloja el sitio web.
CVE-2018-15133: La ejecución remota de código puede ocurrir en el marco de la aplicación web Lavarel como resultado de una llamada no serializada a un valor X-XSRF-TOKEN potencialmente no confiable. Esto puede permitir que los actores de amenazas carguen archivos en el sitio web mediante acceso remoto. El malware Androxgh0st se utiliza para establecer una botnet para identificar sitios web utilizando el marco Lavarel.
CVE-2021-41773: Se ha observado a atacantes escaneando servidores web vulnerables que ejecutan las versiones 2.4.49 o 2.4.50 del servidor Apache HTTP para obtener credenciales para acceder a datos confidenciales. En esta vulnerabilidad, si estos archivos no están protegidos por la configuración “solicitar todo denegado” y los scripts de interfaz de puerta de enlace común (CGI) están habilitados, esto puede permitir la ejecución remota de código.
Estas vulnerabilidades se han agregado al Catálogo de vulnerabilidades explotadas conocidas de CISA.
Se recomienda a las organizaciones que implementen las siguientes mitigaciones para protegerse contra la amenaza que representa Androxgh0st:
Mantenga todos los sistemas operativos, software y firmware actualizados. El aviso insta a las organizaciones a asegurarse de que los servidores Apache no ejecuten las versiones 2.4.49 o 2.4.50.
Verifique que la configuración predeterminada para todos los URI sea denegar todas las solicitudes a menos que exista una necesidad específica de que sea accesible.
Asegúrese de que las aplicaciones Laravel activas no estén en modo de “depuración” o de prueba. Esto incluye eliminar todas las credenciales de la nube de los archivos .env y revocarlas.
Revise cualquier plataforma o servicio que tenga credenciales enumeradas en el archivo .env para acceso o uso no autorizado.
Escanee el sistema de archivos del servidor en busca de archivos PHP no reconocidos.
Revise las solicitudes GET salientes a sitios de alojamiento de archivos como GitHub y Pastebin.
Valide el programa de seguridad de su organización frente a los comportamientos de amenazas asignados al marco MITRE ATT&CK for Enterprise.
Informe cualquier actividad sospechosa o criminal a su oficina local del FBI.
Info – Ciberseguridad Latam