펜카 흐리스토프스카
Androxgh0st 악성코드 배후의 해커들이 주요 플랫폼에서 클라우드 자격 증명을 훔칠 수 있는 봇넷을 만들고 있다고 미국 사이버 기관이 화요일 밝혔습니다.
미국 사이버보안 및 사회기반시설 보안국(CISA)과 연방수사국(FBI)이 2일(현지시간) 발표했다. 공동 자문 맬웨어를 사용하는 해커가 사용하는 전략에 대해 진행 중인 조사 결과에 대해 알아봅니다.
이 악성코드는 Lacework Labs에서 2022년 XNUMX월에 처음 식별되었습니다.
기관에 따르면 해커들은 Androxgh0st를 사용하여 "대상 네트워크에서 피해자 식별 및 이용을 위한" 봇넷을 만들고 있습니다. 봇넷은 자격 증명과 토큰이 포함되어 있기 때문에 사이버 범죄자가 종종 표적으로 삼는 .env 파일을 찾습니다. 기관에서는 이러한 자격 증명이 Microsoft Office 365, SendGrid, Amazon Web Services 및 Twilio와 같은 "유명한 애플리케이션"에서 나온 것이라고 말했습니다.
FBI와 CISA는 “Androxgh0st 악성 코드는 노출된 자격 증명 및 API(애플리케이션 프로그래밍 인터페이스) 검색 및 악용, 웹 셸 배포 등 SMTP(Simple Mail Transfer Protocol)를 악용할 수 있는 다양한 기능도 지원합니다.”라고 설명했습니다.
이 악성코드는 특정 취약점이 있는 웹사이트를 식별하고 표적으로 삼는 캠페인에 사용됩니다. 봇넷은 웹 애플리케이션 개발 도구인 Laravel 프레임워크를 사용하여 웹 사이트를 검색합니다. 웹사이트를 찾으면 해커는 특정 파일에 액세스할 수 있는지, 해당 파일에 자격 증명이 포함되어 있는지 확인하려고 합니다.
CISA와 FBI의 권고는 CVE-2018-15133으로 식별된 Laravel의 중요하고 오랫동안 패치된 취약점을 지적합니다. 이 취약점은 봇넷이 이메일(SMTP 사용) 및 AWS 계정과 같은 서비스의 사용자 이름 및 비밀번호와 같은 자격 증명에 액세스하기 위해 악용합니다.
“위협 행위자가 어떤 서비스에 대한 자격 증명을 획득하면... 그들은 이러한 자격 증명을 사용하여 민감한 데이터에 접근하거나 이러한 서비스를 사용하여 추가적인 악의적인 작업을 수행할 수 있습니다.”라고 권고문은 읽습니다.
“예를 들어 위협 행위자가 취약한 웹 사이트에서 AWS 자격 증명을 성공적으로 식별하고 손상시키면 새로운 사용자와 사용자 정책을 생성하려고 시도하는 것이 관찰되었습니다. 또한 Andoxgh0st 공격자는 추가 검색 활동을 수행하는 데 사용할 새로운 AWS 인스턴스를 생성하는 것이 관찰되었습니다.”라고 기관은 설명합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
