Los investigadores de ciberseguridad han destacado una herramienta conocida como AndroxGh0st, la cual se emplea para atacar las aplicaciones de Laravel y sustraer datos sensibles.

Según el investigador de Juniper Threat Labs, Kashinath T Pattan, esta herramienta opera escaneando y extrayendo información crucial de los archivos .env, revelando así detalles de inicio de sesión vinculados a AWS y Twilio.

Clasificada como un cracker SMTP, AndroxGh0st explota el protocolo SMTP mediante diversas estrategias, que incluyen la explotación de credenciales, la implementación de shell web y el escaneo de vulnerabilidades. Desde al menos 2022, este malware ha sido detectado en la naturaleza, siendo aprovechado por actores de amenazas para acceder a los archivos de entorno de Laravel y robar credenciales de aplicaciones basadas en la nube como Amazon Web Services (AWS), SendGrid y Twilio.

Las cadenas de ataque que involucran a este malware Python explotan vulnerabilidades conocidas en Apache HTTP Server, Laravel Framework y PHPUnit para obtener acceso inicial, escalada y persistencia de privilegios.

En enero, las agencias de ciberseguridad e inteligencia de EE. UU. advirtieron sobre la utilización del malware AndroxGh0st para crear una botnet destinada a identificar y explotar víctimas en redes objetivo. Según explicó Pattan, AndroxGh0st aprovecha inicialmente una debilidad en Apache (CVE-2021-41773) para acceder a sistemas vulnerables y luego explota otras vulnerabilidades, como CVE-2017-9841 y CVE-2018-15133, para establecer un control persistente sobre los sistemas objetivo.

El malware AndroxGh0st está diseñado para extraer datos confidenciales de diversas fuentes, incluidos archivos .env, bases de datos y credenciales en la nube, lo que permite a los actores de amenazas entregar cargas útiles adicionales a los sistemas comprometidos.

Juniper Threat Labs ha observado un aumento en la actividad relacionada con la explotación de CVE-2017-9841, lo que destaca la importancia de que los usuarios actualicen rápidamente sus instancias a la última versión para protegerse contra este tipo de ataques.

La mayoría de los intentos de ataque dirigidos a la infraestructura de honeypot se originaron en varios países, incluidos Estados Unidos, Reino Unido, China, Países Bajos, Alemania, Bulgaria, Kuwait, Rusia, Estonia e India.

Este desarrollo se produce en medio de informes que revelan ataques a servidores vulnerables de WebLogic en Corea del Sur, que están siendo utilizados por adversarios para distribuir un minero de criptomonedas llamado z0Miner y otras herramientas como el proxy inverso rápido (FRP). Además, se ha descubierto una campaña maliciosa que crea instancias de AWS para desplegar un binario asociado con una red de entrega de contenido descentralizada llamada Meson Network.

Como los entornos en la nube se están convirtiendo en un objetivo lucrativo para los actores de amenazas, es esencial mantener el software actualizado y monitorear la actividad sospechosa. La firma de inteligencia de amenazas Permiso ha lanzado CloudGrappler, una herramienta que escanea AWS y Azure en busca de eventos maliciosos relacionados con actores de amenazas conocidos.

fuente:thehackernews