AndroxGh0st 恶意软件瞄准 Laravel 应用程序窃取云凭证

阅读量40722

发布时间 : 2024-03-22 10:22:40

网络安全研究人员揭示了一种名为AndroxGh0st的工具,该工具用于针对 Laravel 应用程序并窃取敏感数据。

Juniper 威胁实验室研究员 Kashinath T Pattan表示:“它的工作原理是扫描 .env 文件并从中提取重要信息,从而显示与 AWS 和 Twilio 相关的登录详细信息。”

“它被归类为 SMTP 破解者,它使用各种策略来利用 SMTP,例如凭证利用、Web shell 部署和漏洞扫描。”

至少自 2022 年起,AndroxGh0st 就已在野外被检测到,威胁者利用它来访问 Laravel 环境文件并窃取各种基于云的应用程序(例如 Amazon Web Services (AWS)、SendGrid 和 Twilio)的凭证。

已知涉及 Python 恶意软件的攻击链会利用 Apache HTTP Server、Laravel Framework 和 PHPUnit 中的已知安全漏洞来获取初始访问权限以及权限升级和持久性。

今年 1 月初,美国网络安全和情报机构警告攻击者部署 AndroxGh0st 恶意软件来创建僵尸网络,以“在目标网络中识别和利用受害者”。

Pattan 解释说:“Androxgh0st 首先通过 Apache 的一个漏洞进入,该漏洞被识别为 CVE-2021-41773,使其能够访问易受攻击的系统。”

“此后,它利用其他漏洞,特别是 CVE-2017-9841 和 CVE-2018-15133,来执行代码并建立持久控制,从本质上接管目标系统。”

Androxgh0st 旨在从各种来源窃取敏感数据,包括 .env 文件、数据库和云凭据。这允许威胁行为者向受感染的系统提供额外的有效负载。

Juniper Threat Labs 表示,它观察到与利用 CVE-2017-9841 相关的活动有所增加,因此用户必须迅速将其实例更新到最新版本。

它补充说,大多数针对其蜜罐基础设施的攻击尝试来自美国、英国、中国、荷兰、德国、保加利亚、科威特、俄罗斯、爱沙尼亚和印度。

这一进展发生之际,AhnLab 安全情报中心 (ASEC)透露,位于韩国的易受攻击的 WebLogic 服务器正成为攻击者的目标,并将其用作下载服务器来分发名为z0Miner的加密货币挖矿程序和快速反向代理 (FRP) 等其他工具。

它还发现了一个恶意活动,该活动渗透到 AWS 实例,在几分钟内创建了 6,000 多个 EC2 实例,并部署了与称为Meson Network的去中心化内容交付网络 (CDN) 相关的二进制文件。

这家总部位于新加坡的公司旨在创建“世界上最大的带宽市场”,其工作方式是允许用户将闲置带宽和存储资源与 Meson 交换代币(即奖励)。

Sysdig在本月发布的一份技术报告中表示:“这意味着矿工将获得 Meson 代币作为向 Meson Network 平台提供服务器的奖励,奖励将根据带入网络的带宽和存储量来计算。”

“这不再是挖掘加密货币的全部了。像 Meson 网络这样的服务希望利用硬盘空间和网络带宽而不是 CPU。虽然 Meson 可能是合法的服务,但这表明攻击者总是在寻找新的方法来制造加密货币。”钱。”

随着云环境日益成为威胁行为者有利可图的目标,保持软件最新并监控可疑活动至关重要。

威胁情报公司 Permiso 还发布了一款名为CloudGrappler的工具,该工具构建在cloudgrep的基础上,可以扫描 AWS 和 Azure,以标记与知名威胁参与者相关的恶意事件。

本文转载自: https://thehackernews.com/2024/03/androxgh0st-malware-targets-laravel.html

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66