ペンカ・フリストフスカ
Androxgh0st マルウェアの背後にいるハッカーが、主要プラットフォームからクラウド認証情報を盗むことができるボットネットを作成していると、米国のサイバー機関が火曜日に発表した。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、 共同勧告 マルウェアを使用するハッカーが採用した戦略に関する進行中の調査の結果について。
このマルウェアは、Lacework Labs によって 2022 年 XNUMX 月に初めて特定されました。
当局によると、ハッカーらは「被害者の特定と標的ネットワークでの悪用を目的とした」ボットネットを作成するためにAndroxgh0stを使用しているという。ボットネットは .env ファイルを探します。このファイルには認証情報やトークンが含まれているため、サイバー犯罪者がよくターゲットにします。これらの認証情報は、Microsoft Office 365、SendGrid、Amazon Web Services、Twilio などの「注目度の高いアプリケーション」からのものであると政府機関は述べています。
「Androxgh0st マルウェアは、公開された認証情報やアプリケーション プログラミング インターフェイス (API) のスキャンと悪用、Web シェルの展開など、簡易メール転送プロトコル (SMTP) を悪用できる多数の機能もサポートしています」と FBI と CISA は説明しました。
このマルウェアは、特定の脆弱性のある Web サイトを特定してターゲットにすることを目的としたキャンペーンで使用されます。ボットネットは、Web アプリケーション開発ツールである Laravel フレームワークを使用して Web サイトを検索します。ハッカーは、Web サイトを見つけると、特定のファイルがアクセス可能かどうか、および資格情報が含まれているかどうかを判断しようとします。
CISA と FBI の勧告は、CVE-2018-15133 として特定される、Laravel の重大な脆弱性を指摘しており、この脆弱性を悪用して、電子メール (SMTP を使用) や AWS アカウントなどのサービスのユーザー名やパスワードなどの認証情報にアクセスします。
「脅威アクターが何らかのサービスの認証情報を取得した場合、これらの認証情報を使用して機密データにアクセスしたり、これらのサービスを使用して追加の悪意のある操作を実行したりする可能性があります」と勧告には書かれています。
「たとえば、攻撃者が脆弱な Web サイトから AWS 認証情報を特定して侵害することに成功すると、新しいユーザーとユーザー ポリシーを作成しようとすることが観察されています。さらに、Andoxgh0st の攻撃者が追加のスキャン活動を実行するために使用する新しい AWS インスタンスを作成しているのが観察されています」と当局は説明しています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
