FBI และ US Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกการแจ้งเตือนเกี่ยวกับแคมเปญมัลแวร์ที่กำหนดเป้าหมายไปยังเว็บเซิร์ฟเวอร์ Apache และเว็บไซต์ต่างๆ ที่ใช้เฟรมเวิร์กแอปพลิเคชันเว็บ Laravel ยอดนิยม โดยใช้ประโยชน์จากข้อบกพร่องที่ทราบสำหรับการประนีประนอมเบื้องต้น

เป้าหมายสุดท้ายของแคมเปญคือการขโมยข้อมูลรับรองไปยังแอปพลิเคชันระดับสูง เช่น Amazon Web Services, Microsoft 365, Twilio และ SendGrid เพื่อให้ผู้คุกคามสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนในแอปหรือใช้แอปเพื่อการดำเนินการที่เป็นอันตรายอื่น ๆ

“ตัวอย่างเช่น เมื่อผู้ดำเนินการภัยคุกคามระบุและประนีประนอมข้อมูลรับรอง AWS จากเว็บไซต์ที่มีช่องโหว่ได้สำเร็จ พวกเขาจะถูกมองว่าพยายามสร้างผู้ใช้และนโยบายผู้ใช้ใหม่” สองหน่วยงานกล่าว. ในหลายเหตุการณ์ ผู้ไม่หวังดียังใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อสร้างอินสแตนซ์ AWS ใหม่สำหรับกิจกรรมการสแกนที่เป็นอันตรายเพิ่มเติม พวกเขาตั้งข้อสังเกต

ข้อมูลรับรองภัยคุกคามและการใช้ในทางที่ผิด

แคมเปญนี้เกี่ยวข้องกับภัยคุกคามมัลแวร์ที่รู้จักซึ่งมีชื่อว่า “Androxgh0st” ซึ่งก็คือ Lacework ครั้งแรกที่เตือนเกี่ยวกับ ในเดือนธันวาคม 2022 มัลแวร์ซึ่งเขียนด้วยภาษา Python ได้รับการออกแบบมาเพื่อสแกนหาและแยกความลับของแอปพลิเคชัน เช่น ข้อมูลประจำตัวและคีย์ API จากไฟล์ Laravel .env

Laravel เป็นเฟรมเวิร์กแอปพลิเคชันเว็บ PHP แบบโอเพ่นซอร์สที่นักพัฒนาจำนวนมากใช้สำหรับงานพัฒนาเว็บทั่วไปโดยไม่ต้องเขียนโค้ดระดับต่ำตั้งแต่เริ่มต้น ไฟล์ Laravel .env เป็นเป้าหมายของฝ่ายตรงข้ามที่ได้รับความนิยม เนื่องจากมักประกอบด้วยข้อมูลประจำตัวและข้อมูลอื่นๆ ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงและใช้แอปที่มีมูลค่าสูงในทางที่ผิด เช่น AWS, Microsoft 365 และ Twilo  

Lacework ระบุว่ามัลแวร์มีความสามารถในการสแกนหาและใช้ประโยชน์จากข้อมูลรับรองและ API ที่เปิดเผย และปรับใช้ Web Shells บนระบบที่ถูกบุกรุก

นี่ไม่ใช่แคมเปญใหญ่ครั้งแรกสำหรับโค้ดที่เป็นอันตราย เมื่อเดือนมีนาคมที่ผ่านมา ฟอร์ติเน็ตรายงาน สังเกตการณ์ผู้คุกคามที่ใช้ Androxgh0st เพื่อกำหนดเป้าหมายไฟล์ Laravel .env บนอุปกรณ์ Fortinet โดยเฉลี่ย 40,000 เครื่องต่อวัน

การสแกนหาเว็บไซต์ที่มีช่องโหว่อย่างแข็งขัน

จากข้อมูลของ FBI และ CISA ผู้แสดงภัยคุกคาม Androxgh0st กำลังสแกนหาเว็บไซต์ที่มีช่องโหว่โดยเฉพาะโดยเฉพาะ CVE-2017-9841ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่สำคัญ (RCE) ใน PHPUnit ซึ่งเป็นโมดูลสำหรับทดสอบโค้ด PHP

พวกเขากำลังใช้ประโยชน์จากช่องโหว่เพื่อทิ้ง Androxgh0st และมัลแวร์อื่นๆ บนเว็บไซต์ที่ได้รับผลกระทบ และทำให้พวกเขาเป็นส่วนหนึ่งของบอตเน็ต ที่ใช้ในการสแกนและรวบรวมข้อมูลเกี่ยวกับเป้าหมายที่เป็นไปได้อื่นๆ CVE-2017-9841 เป็นช่องโหว่ที่มีการกำหนดเป้าหมายอย่างกว้างขวางตั้งแต่ปี 2017 โดยมีผู้จำหน่ายเช่น Imperva รายงานการโจมตีนับล้านครั้ง บนระบบที่ได้รับผลกระทบจนถึงต้นปี 2020 เป็นอย่างน้อย

ในหลาย ๆ กรณี ฝ่ายตรงข้าม Androxgh0st ยังถูกสังเกตด้วยการสแกนหาเว็บเซิร์ฟเวอร์ที่ใช้ Apache HTTP Server เวอร์ชัน 2.4.49 หรือ 2.4.50 ที่มีความเสี่ยง CVE-2021-41773ซึ่งเป็นช่องโหว่การข้ามเส้นทางตั้งแต่ปี 2021 ที่อนุญาตให้มี RCE CISA เคยเตือนก่อนหน้านี้ว่า CVE-2021-41773 เป็นหนึ่งใน รายการช่องโหว่ ผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากจีนมักจะแสวงหาประโยชน์สูงสุดในแคมเปญของตน

การแจ้งเตือนของ FBI และ CISA อธิบายว่าผู้คุกคามใช้บอตเน็ตเพื่อสแกนหาเว็บไซต์โดยใช้แอปพลิเคชันเว็บ Laravel จากนั้นตรวจสอบว่าไฟล์รูท .env ของโดเมนถูกเปิดเผยหรือไม่

“หากไฟล์ .env ถูกเปิดเผย ผู้คุกคามจะส่งคำขอ GET ไปยัง /.env URI เพื่อพยายามเข้าถึงข้อมูลบนเพจ” หน่วยงานทั้งสองกล่าว “อีกทางหนึ่ง Androxgh0st อาจส่งคำขอ POST ไปยัง URI เดียวกันกับตัวแปร POST ชื่อ 0x[] ซึ่งมีข้อมูลบางอย่างที่ส่งไปยังเว็บเซิร์ฟเวอร์” 

หากวิธีใดวิธีหนึ่งได้รับการตอบสนองที่ประสบความสำเร็จ ผู้คุกคามจะสามารถค้นหาความลับในไฟล์ .env รวมถึงชื่อผู้ใช้และรหัสผ่านไปยัง AWS บัญชีอีเมล และแอปองค์กรอื่นๆ

เพื่อป้องกันสิ่งนี้และภัยคุกคามที่คล้ายกัน CISA แนะนำแนวทางปฏิบัติที่ดีที่สุดดังต่อไปนี้:

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud-security/cisa-aws-microsoft-365-accounts-androxgh0st-attack