FBI 警告:AWS/ Microsoft などのクラウド・クレデンシャルを狙うAndroxgh0st ボットネット

FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials

2024/01/16 BleepingComputer — Androxgh0st マルウェアを使用する脅威アクターが、クラウド・クレデンシャルの窃取に特化したボットネットを構築し、窃取した情報を介して悪意のペイロードを配信していることを、1月16日に CISA と FBI が警告した。この、2022年に Lacework Labs により発見されたボットネットは、PHPUnit ユニットテスト・フレームワーク/PHP Web フレームワーク/Apache Web サーバなどを使用する Web サイト/サーバをスキャンし、リモートコード実行 (RCE) の脆弱性を検出するものだ。


これらの攻撃で狙われる RCE の脆弱性としては、CVE-2017-9841 (PHPUnit)/CVE-2021-41773 (Apache HTTP Server)/CVE-2018-15133 (Laravel) が挙げられる。

CISA と FBI は、「Androxgh0st は、知名度の高い主要なアプリケーションを標的としている。具体的に言うと、Laravel Web アプリケーション・フレームワークを用いる、Amazon Web Services/Microsoft Office 365/SendGrid/Twilio において、認証データなどの機密情報を保持する “.env” ファイルを狙う、Python スクリプトのマルウェアである」と述べている。

両組織は、「Androxgh0st マルウェアは、SMTP (Simple Mail Transfer Protocol ) を悪用する、多数の機能をサポートしている。それらは、公開された認証情報や API のスキャンと悪用や、Web シェルの展開などで構成されている」と警告している。

たとえば、無済出された Twilio や SendGrid の認証情報を悪用する脅威アクターは、侵害した企業になりすましてスパム・キャンペーンを行うことが可能になる。

Lacework は、「AndroxGh0st は、不正に取得した認証情報に対して、2つの機能のいずれかを、用途に応じて実行する。最も一般的に確認されているのは、スパム送信に利用できるかどうかを評価するために、アカウントの電子メール送信制限をチェックすることである」と指摘している。

攻撃者たちは、侵害した Web サイト上に偽ページを作成し、機密情報を含むデータベースにアクセスするためのバックドアを提供し、業務に不可欠な悪意のツールを展開することも確認されている。

脆弱な Web サイト上で、たとえば AWS 認証情報の特定と侵害に成功した攻撃者は、新しいユーザーとユーザー・ポリシーの作成も試みている。さらに、Andoxgh0st のオペレーターは、盗んだ認証情報を使って新たな AWS インスタンスを立ち上げ、インターネット上の脆弱なターゲット・スキャンに用いている。

CISA Androxgh0st tweet


FBI と CISA は、Androxgh0st マルウェア攻撃の影響を抑止し、侵害のリスクを低減するために、以下の緩和策を実施するよう、ネットワーク防御者に助言している:

  • すべてのオペレーティング・システム/ソフトウェア/ファームウェアを最新の状態に保つ。具体的には、Apache サーバのバージョンが 2.4.49/2.4.50 ではないことを確認する。
  • すべての URI のデフォルト設定が、特別なアクセスの必要性がない限り、すべてのリクエストを拒否するように設定されていることを確認する。
  • ライブの Laravel アプリケーションが “debug” または “test” モードではないことを確認する。”.env” ファイルから、すべてのクラウド認証情報を削除し、それらを失効させる。
  • 過去に保存されたクラウド認証情報については1回に限定して、また、削除できないタイプの認証情報については継続的に、”.env” ファイルに認証情報が記載されているプラットフォームやサービスについて、不正なアクセスおよび使用を確認する。
  • サーバのファイル・システムをスキャンし、特にルート・ディレクトリや “/vendor/phpunit/src/Util/PHP” フォルダの中に、認識できない PHP ファイルがないことを確認する。
  • GitHub/pastebin などのファイル・ホスティング・サイトへの、GET リクエスト (cURL コマンドによる) を確認する。

さらに FBI は、この脅威に関連する疑わしい活動や、犯罪行為を検知した組織に対して、Androxgh0st マルウェア情報を提供するよう求めている。

今日になって CISA は、この活発な悪用の証拠に基づき、Laravel に存在する信頼できないデータに対するデシリアライズの脆弱性 CVE-2018-15133 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

また、CISA は、連邦政府機関に対して、2月6日までに、これらの攻撃からシステムを保護するよう命じた。

なお、Apache HTTP Server のパス・トラバーサル脆弱性 CVE-2021-41773 と、PHPUnit のコマンド・インジェクション脆弱性 CVE-2017-9841 に関しては、それぞれが、2021年11月と 2022年2月に、KEV カタログに追加されている。

Laravel Web アプリケーション・フレームワークに存在する、いくつかの古い脆弱性が悪用され、各種のクラウド・サービスが危殆化しているという、かなり心配な状況です。この記事は、BleepingComputer が参照元ですが、大半のセキュリティ関連メディアが、このインシデントを取り上げています。それだけ、Androxgh0st ボットネットによる攻撃範囲が広いということなのでしょう。