Das „Androxgh0st“ Malware-Botnetz ist ein ernstzunehmendes Sicherheitsrisiko, das derzeit von der FBI und dem Cybersecurity and Infrastructure Security Agency (CISA) untersucht wird. Dieses Botnetz konzentriert sich auf den Diebstahl von Cloud-Anmeldeinformationen, insbesondere von AWS und Microsoft Office 365, und verwendet die gestohlenen Informationen, um weitere schädliche Lasten zu verteilen.
Die Malware zielt auf .env-Dateien ab, die Benutzerdaten für AWS, Microsoft Office 365, SendGrid und Twilio enthalten. Nachdem diese Anmeldeinformationen gescannt und ausgenutzt wurden, kann Androxgh0st auch dazu verwendet werden, Web-Shells zu implementieren, Code aus der Ferne auszuführen, sensible Daten zu stehlen und sogar neue AWS-Benutzer und -Instanzen zu erstellen.
Androxgh0st nutzt eine Reihe alter, bereits behobener Sicherheitslücken aus, darunter CVE-2017-9841, eine Befehlsinjektionsanfälligkeit in PHPUnit; CVE-2018-15133, eine unsichere Deserialisierungsschwachstelle im Laravel-Webanwendungsframework, die zu einer Remote-Code-Ausführung führen kann; und CVE-2021-41773, eine Pfadumgehungsschwachstelle im Apache HTTP Server, die ebenfalls zur Remote-Code-Ausführung führt.
Zu den Empfehlungen für Gegenmaßnahmen gehören die Aktualisierung aller Betriebssysteme, Software und Firmware, insbesondere die Aktualisierung anfälliger Apache-Serverversionen. Organisationen sollten außerdem URLs so konfigurieren, dass standardmäßig alle Anfragen abgelehnt werden, es sei denn, ein spezifischer Zugriff ist erforderlich, um unnötige Exposition zu reduzieren. Darüber hinaus wird empfohlen, Laravel-Anwendungen sicher zu konfigurieren und alle in .env-Dateien gespeicherten Cloud-Anmeldeinformationen zu überprüfen und zu widerrufen.
Die FBI und CISA betonen die Notwendigkeit einer erhöhten Wachsamkeit bezüglich Laravel-Anwendungen. Es wird empfohlen, regelmäßig Server auf unbekannte PHP-Dateien zu scannen und ausgehende GET-Anfragen zu überwachen, insbesondere solche, die auf externe Datei-Hosting-Websites zugreifen. Organisationen, die verdächtige Aktivitäten im Zusammenhang mit Androxgh0st-Malware feststellen, sollten diese Informationen mit dem FBI teilen.
Von Androxgh0st betroffene Anwendungen
ie Androxgh0st-Malware zielt auf spezifische Schwachstellen in bestimmten Serverversionen ab, um ein Botnetz aufzubauen. Die betroffenen Server und deren anfällige Versionen sind:
- Apache HTTP Server: Die Versionen 2.4.49 und 2.4.50 des Apache HTTP Servers sind aufgrund der Schwachstelle CVE-2021-41773 anfällig. Diese Schwachstelle ermöglicht Pfadumgehung und Remote-Code-Ausführung.
- Laravel-Anwendungen: Laravel-Webanwendungsframeworks in den Versionen bis einschließlich 5.5.40, sowie in den Versionen 5.6.0 bis einschließlich 5.6.29 sind anfällig für die Schwachstelle CVE-2018-15133. Diese Schwachstelle ermöglicht Remote-Code-Ausführung durch unsichere Deserialisierung.
- PHPUnit: Eine Schwachstelle (CVE-2017-9841) in PHPUnit, einem beliebten PHP-Testframework, ermöglicht eine Befehlsinjektion und Remote-Code-Ausführung durch einen bösartigen HTTP POST-Request.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: