Peneliti keamanan siber telah menjelaskan alat yang disebut AndroxGh0st yang digunakan untuk menargetkan aplikasi Laravel dan mencuri data sensitif.
“Ia bekerja dengan memindai dan mengambil informasi penting dari file .env, mengungkapkan detail login yang terkait dengan AWS dan Twilio,” kata peneliti Juniper Threat Labs, Kashinath T Pattan .
“Diklasifikasikan sebagai cracker SMTP, ia mengeksploitasi SMTP menggunakan berbagai strategi seperti eksploitasi kredensial, penerapan shell web, dan pemindaian kerentanan.”
AndroxGh0st telah terdeteksi di alam liar setidaknya sejak tahun 2022, dengan pelaku ancaman memanfaatkannya untuk mengakses file lingkungan Laravel dan mencuri kredensial untuk berbagai aplikasi berbasis cloud seperti Amazon Web Services (AWS), SendGrid, dan Twilio.
Rantai serangan yang melibatkan malware Python diketahui mengeksploitasi kelemahan keamanan yang diketahui di Apache HTTP Server, Laravel Framework, dan PHPUnit untuk mendapatkan akses awal dan untuk peningkatan hak istimewa serta persistensi.
Awal bulan Januari ini, badan keamanan siber dan intelijen AS memperingatkan penyerang yang menyebarkan malware AndroxGh0st untuk membuat botnet untuk “mengidentifikasi dan mengeksploitasi korban di jaringan target.”
Awal bulan Januari ini, badan keamanan siber dan intelijen AS memperingatkan penyerang yang menyebarkan malware AndroxGh0st untuk membuat botnet untuk “mengidentifikasi dan mengeksploitasi korban di jaringan target.”
“Androxgh0st pertama kali masuk melalui kelemahan di Apache, yang diidentifikasi sebagai CVE-2021-41773, yang memungkinkannya mengakses sistem yang rentan,” jelas Pattan.
“Setelah ini, ia mengeksploitasi kerentanan tambahan, khususnya CVE-2017-9841 dan CVE-2018-15133, untuk mengeksekusi kode dan membangun kontrol terus-menerus, yang pada dasarnya mengambil alih sistem yang ditargetkan.”
Androxgh0st dirancang untuk mengekstrak data sensitif dari berbagai sumber, termasuk file .env, database, dan kredensial cloud. Hal ini memungkinkan pelaku ancaman mengirimkan muatan tambahan ke sistem yang disusupi.
Juniper Threat Labs mengatakan mereka telah mengamati peningkatan aktivitas terkait eksploitasi CVE-2017-9841, sehingga penting bagi pengguna untuk segera memperbarui instance mereka ke versi terbaru.
Mayoritas upaya serangan yang menargetkan infrastruktur honeypot berasal dari AS, Inggris, Tiongkok, Belanda, Jerman, Bulgaria, Kuwait, Rusia, Estonia, dan India, tambahnya.
Perkembangan ini terjadi ketika AhnLab Security Intelligence Center (ASEC) mengungkapkan bahwa server WebLogic rentan yang berlokasi di Korea Selatan menjadi sasaran musuh dan menggunakannya sebagai server pengunduhan untuk mendistribusikan penambang mata uang kripto yang disebut z0Miner dan alat lain seperti fast reverse proxy (FRP).
Hal ini juga menyusul ditemukannya kampanye jahat yang menyusup ke instans AWS untuk membuat lebih dari 6.000 instans EC2 dalam hitungan menit dan menerapkan biner yang terkait dengan jaringan pengiriman konten terdesentralisasi (CDN) yang dikenal sebagai Jaringan Meson .
Perusahaan yang berbasis di Singapura, yang bertujuan untuk menciptakan "pasar bandwidth terbesar di dunia," bekerja dengan memungkinkan pengguna menukar bandwidth menganggur dan sumber daya penyimpanan mereka dengan Meson dengan token (yaitu hadiah).
“Ini berarti penambang akan menerima token Meson sebagai hadiah karena menyediakan server ke platform Jaringan Meson, dan hadiahnya akan dihitung berdasarkan jumlah bandwidth dan penyimpanan yang dimasukkan ke dalam jaringan,” kata Sysdig dalam laporan teknis yang diterbitkan bulan ini.
"Ini bukan lagi tentang menambang mata uang kripto. Layanan seperti jaringan Meson ingin memanfaatkan ruang hard drive dan bandwidth jaringan, bukan CPU. Meskipun Meson mungkin merupakan layanan yang sah, hal ini menunjukkan bahwa penyerang selalu mencari cara baru untuk melakukan penambangan. uang."
Dengan semakin banyaknya lingkungan cloud yang menjadi target menguntungkan bagi pelaku ancaman, sangatlah penting untuk selalu memperbarui perangkat lunak dan memantau aktivitas mencurigakan.
Dengan semakin banyaknya lingkungan cloud yang menjadi target menguntungkan bagi pelaku ancaman, sangatlah penting untuk selalu memperbarui perangkat lunak dan memantau aktivitas mencurigakan.
Perusahaan intelijen ancaman Permiso juga telah merilis alat bernama CloudGrappler , yang dibangun di atas fondasi cloudgrep dan memindai AWS dan Azure untuk menandai peristiwa berbahaya yang terkait dengan pelaku ancaman terkenal.