El Malware AndroxGh0st Apunta a Aplicaciones Laravel para Robar Credenciales en la Nube

XPoint
Publicado el 21/03/2024

Inteligencia de Amenazas | Vulnerabilidad | Malware AndroxGh0st

Los investigadores de ciberseguridad han arrojado luz sobre una herramienta conocida como AndroxGh0st que se utiliza para atacar aplicaciones Laravel y robar datos sensibles.

«Funciona escaneando y extrayendo información importante de archivos .env, revelando detalles de inicio de sesión vinculados a AWS y Twilio», dijo el investigador de Juniper Threat Labs, Kashinath T Pattan.

«Clasificado como un cracker SMTP, explota SMTP utilizando diversas estrategias como la explotación de credenciales, el despliegue de shell web y el escaneo de vulnerabilidades.»

AndroxGh0st ha sido detectado en la naturaleza desde al menos 2022, con actores de amenazas aprovechándolo para acceder a archivos de entorno de Laravel y robar credenciales de varias aplicaciones basadas en la nube como Amazon Web Services (AWS), SendGrid y Twilio.

Las cadenas de ataque que involucran el malware Python son conocidas por explotar fallas de seguridad conocidas en Apache HTTP Server, Laravel Framework y PHPUnit para obtener acceso inicial y para escalada de privilegios y persistencia.

Ciberseguridad A principios de este enero, las agencias de ciberseguridad e inteligencia de EE. UU. advirtieron que los atacantes estaban desplegando el malware AndroxGh0st para crear una botnet para «identificación y explotación de víctimas en redes objetivo».

«Androxgh0st primero entra a través de una debilidad en Apache, identificada como CVE-2021-41773, lo que le permite acceder a sistemas vulnerables», explicó Pattan.

«Después de esto, explota vulnerabilidades adicionales, específicamente CVE-2017-9841 y CVE-2018-15133, para ejecutar código y establecer control persistente, tomando efectivamente el control de los sistemas objetivo».

Androxgh0st está diseñado para extraer datos sensibles de diversas fuentes, incluidos archivos .env, bases de datos y credenciales en la nube. Esto permite que los actores de amenazas entreguen cargas útiles adicionales a los sistemas comprometidos.

Juniper Threat Labs dijo que ha observado un aumento en la actividad relacionada con la explotación de CVE-2017-9841, por lo que es esencial que los usuarios se muevan rápidamente para actualizar sus instancias a la última versión.

Malware AndroxGh0st La mayoría de los intentos de ataque dirigidos a su infraestructura de honeypot se originaron en EE. UU., Reino Unido, China, Países Bajos, Alemania, Bulgaria, Kuwait, Rusia, Estonia e India, agregó.

Este desarrollo se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) reveló que los servidores vulnerables de WebLogic ubicados en Corea del Sur están siendo atacados por adversarios y se utilizan como servidores de descarga para distribuir un minero de criptomonedas llamado z0Miner y otras herramientas como proxy inverso rápido (FRP).

También sigue al descubrimiento de una campaña maliciosa que se infiltra en instancias de AWS para crear más de 6.000 instancias EC2 en minutos y desplegar un binario asociado con una red de entrega de contenido (CDN) descentralizada conocida como Meson Network.

La empresa con sede en Singapur, que tiene como objetivo crear el «mercado de ancho de banda más grande del mundo», funciona permitiendo a los usuarios intercambiar su ancho de banda y recursos de almacenamiento inactivos con Meson a cambio de tokens (es decir, recompensas).

Ciberseguridad «Esto significa que los mineros recibirán tokens de Meson como recompensa por proporcionar servidores a la plataforma de red de Meson, y la recompensa se calculará en función de la cantidad de ancho de banda y almacenamiento que se traiga a la red», dijo Sysdig en un informe técnico publicado este mes.

«No se trata solo de minar criptomonedas»

Servicios como la red Meson quieren aprovechar el espacio en el disco duro y el ancho de banda de la red en lugar de la CPU. Si bien Meson puede ser un servicio legítimo, esto muestra que los atacantes siempre están.

Preguntas frecuentes

¿Qué es un Malware?

+

Un Malware es un programa malicioso, también conocido como programa maligno, programa malintencionado o código maligno, es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.​

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos