Mã độc AndroxGh0st nhắm mục tiêu đánh cắp thông tin xác thực cloud

0
0

- Các nhà nghiên cứu bảo mật đã tiết lộ thông tin về một phần mềm độc hại có tên AndroxGh0st đang được sử dụng để nhắm mục tiêu vào các ứng dụng Laravel và đánh cắp dữ liệu nhạy cảm.

Nhà nghiên cứu Kashinath T Pattan của Juniper Threat Labs cho biết: “AndroxGh0st hoạt động bằng cách quét và thu thập các thông tin có giá trị từ các tệp .env, bao gồm thông tin đăng nhập cho AWS và Twilio”.

“AndroxGh0st được phân loại là một công cụ bẻ khóa SMTP, nó khai thác SMTP bằng nhiều phương pháp khác nhau như khai thác thông tin xác thực, triển khai web shell và quét lỗ hổng”.

AndroxGh0st được phát hiện ít nhất từ năm 2022, các tác nhân đe dọa lợi dụng nó để truy cập các tệp môi trường Laravel và đánh cắp thông tin xác thực cho nhiều ứng dụng cloud như Amazon Web Services (AWS), SendGrid và Twilio.

 

Các chuỗi tấn công liên quan đến phần mềm độc hại này khai thác các lỗ hổng bảo mật đã biết trong Máy chủ HTTP Apache, Laravel Framework và PHPUnit để giành quyền truy cập ban đầu cũng như leo thang và duy trì quyền truy cập.

Đầu tháng 1/2024, các cơ quan tình báo và an ninh mạng Mỹ đã cảnh báo về những kẻ tấn công triển khai mã độc AndroxGh0st để xây dựng một mạng botnet nhằm “xác định và khai thác các máy nạn nhân trong mạng mục tiêu”.

“Đầu tiên, Androxgh0st giành quyền truy cập ban đầu thông qua lỗ hổng CVE-2021-41773 trong Apache, cho phép nó truy cập vào các hệ thống dễ bị tấn công”.

“Sau đó, nó khai thác lỗ hổng CVE-2017-9841 và CVE-2018-15133 để thực thi mã và duy trì quyền kiểm soát liên tục, chiếm quyền kiểm soát các hệ thống mục tiêu.”

Androxgh0st được thiết kế để đánh cắp dữ liệu nhạy cảm từ nhiều nguồn khác nhau, bao gồm tệp .env, cơ sở dữ liệu và các thông tin xác thực cloud. Điều này có thể cho phép tác nhân đe dọa triển khai các payload (tệp/phần mềm độc hại) bổ sung trên hệ thống bị xâm

Juniper Threat Labs lưu ý rằng họ đã phát hiện sự gia tăng hoạt động khai thác liên quan đến CVE-2017-9841, do đó người dùng cần nhanh chóng cập nhật lên phiên bản mới nhất để giảm thiểu các nguy cơ bị khai thác tấn công.

Sự phát triển này diễn ra khi Trung tâm Tình báo an ninh mạng AhnLab (ASEC) cảnh báo rằng các máy chủ WebLogic dễ bị tấn công ở Hàn Quốc đang bị tin tặc nhắm mục tiêu để triển khai công cụ khai thác tiền điện tử z0Miner và các công cụ độc hại khác.

PV (thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.