連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は共同勧告を発表し、Androxgh0stマルウェアを利用したボットネットを展開する脅威アクターについて警告を発しました。このマルウェアは、AWSやMicrosoft Azureなどのクラウド認証情報を収集し、Simple Mail Transfer Protocol(SMTP)を悪用し、Amazon Simple Email Service(SMS)のパラメータをスキャンする機能を備えています。
Androxgh0st マルウェアとは何ですか?
Androxgh0stマルウェアは、クラウドセキュリティ企業Laceworkによって2022年12月に公開されました。このマルウェアはPythonで記述されており、主にLaravel.envファイルを窃取するために使用されます。Laravel.envファイルには、重要アプリケーションの認証情報などの機密情報が含まれています。例えば、組織はAWS、Microsoft Office 365、SendGrid、TwilioなどのアプリケーションやプラットフォームをLaravelフレームワークに統合することができ、アプリケーションの機密情報はすべて.envファイルに保存されます。
ボットネットは、Laravel Webアプリケーションフレームワークを使用しているウェブサイトを探し出し、ドメインのルートレベルの.envファイルが公開されているかどうか、またそこに追加サービスにアクセスするためのデータが含まれているかどうかを判断します。.envファイル内のデータは、ユーザー名、パスワード、トークン、その他の認証情報などです。
サイバーセキュリティ企業のフォーティネットは、Androxgh0st のテレメトリを公開しました。それによると、40,000 台以上のデバイスがボットネットに感染していることがわかりました (図 A )。
図A
FBI/CISAの勧告では、「Androxgh0stマルウェアは、公開された資格情報やアプリケーションプログラミングインターフェース(API)のスキャンと悪用、Webシェルの展開など、シンプルメール転送プロトコル(SMTP)を悪用できる多数の機能もサポートしています」と述べています。
Androxgh0st マルウェアはどのようにして古い脆弱性を悪用するのでしょうか?
さらに、Androxgh0stはLaravelアプリケーションキーにアクセスできます。このキーが公開されアクセス可能になった場合、攻撃者はそれを利用してPHPコードを暗号化し、XSRF-TOKEN変数の値としてウェブサイトに渡そうとします。これは、Laravelウェブアプリケーションフレームワークの一部バージョンに存在するCVE-2018-15133の脆弱性を悪用しようとする試みです。この試みが成功すると、攻撃者はリモートからウェブサイトにファイルをアップロードできるようになります。CISAは、この悪用活動の証拠に基づき、CVE-2018-15133のLaravelにおける信頼できないデータのデシリアライゼーションの脆弱性を既知の脆弱性カタログに追加しました。
Androxgh0st を展開する脅威アクターは、攻撃者が Web サイトでリモート コードを実行できるようにする PHP テスト フレームワーク PHPUnit の脆弱性である CVE-2017-9841 を悪用することも確認されています。
CVE-2021-41773も脅威アクターによって悪用されています。Apache HTTP Serverのこの脆弱性により、攻撃者はウェブサイト上でリモートコードを実行できるようになります。
Androxgh0st マルウェアのスパム目的については何がわかっていますか?
Laceworkは2022年後半に、「過去1年間でLaceworkが観測した主要な侵害インシデントの約3分の1は、スパムや悪意のある電子メールキャンペーンを目的としていたと考えられる」と述べており、その活動の大部分はAndroxgh0stによって生成されたものである。
このマルウェアには、SMTP の悪用を可能にする複数の機能があり、おそらく将来のスパム送信のために Amazon の Simple Email Service の送信クォータをスキャンする機能も含まれています。
Androxgh0stマルウェアの脅威から身を守る方法
CISA と FBI の共同勧告では、次の措置を講じることが推奨されています。
- すべてのオペレーティングシステム、ソフトウェア、ファームウェアを最新の状態に保ってください。特にApacheサーバーは最新の状態にしておく必要があります。この記事で述べられているように、攻撃者は2021年に修正されたApache Webサーバーの脆弱性を依然として悪用することが可能です。
- インターネットからアクセスする必要がある場合を除き、すべての URI のデフォルト構成がアクセスを拒否するようになっていることを確認します。
- 攻撃者が脆弱性をより簡単に悪用できる可能性があるため、Laravel アプリケーションがデバッグ モードまたはテスト モードで実行されるように構成されていないことを確認してください。
- .env ファイルからすべてのクラウド認証情報を削除し、失効させてください。CISA と FBI が述べているように、「すべてのクラウドプロバイダーは、Web サーバー内で実行されるコードに、ファイルに保存することなく、一時的な認証情報(頻繁にローテーションされるもの)を提供するためのより安全な方法を持っています。」
- .env ファイルを使用するプラットフォームまたはサービスで、不正アクセスや不正使用がないか確認します。
- 特に、Web サーバーのルート フォルダー内、および Web サーバーで PHPUnit が使用されている場合は /vendor/phpunit/phpunit/src/Util/PHP フォルダー内で、不明または認識されない PHP ファイルを検索します。
- ファイル ホスティング プラットフォーム (GitHub や Pastebin など) への送信 GET リクエスト (特に .php ファイルにアクセスするリクエスト) を確認します。
さらに、Androxgh0st が追加のスキャンアクティビティに使用する新しい AWS インスタンスを作成することが観察されているため、影響を受けるサービスのいずれかで新しく作成されたユーザーがいないか確認することをお勧めします。
不審なアクティビティを検知するために、組織のすべてのエンドポイントとサーバーにセキュリティソリューションを導入する必要があります。また、有効な認証情報を持つ攻撃者による侵害を防ぐため、IT部門は可能な限りすべてのサービスに多要素認証を導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
