Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Botnet Androxgh0st Roba Credenciales AWS y Microsoft

Escrito por Adriana Aguilar | Jan 20, 2024 5:00:00 PM

En el mundo digital de hoy, la ciberseguridad es un tema de importancia crítica. Recientemente, el FBI ha advertido sobre un nuevo tipo de malware llamado "Androxgh0st", un botnet capaz de robar credenciales de plataformas como AWS (Amazon Web Services) y Microsoft. En este artículo profundizaremos en lo que significa esta amenaza y cómo puedes protegerte contra ella.

 

¿Qué es el Malware Androxgh0st?

 

 

CISA y el FBI han emitido una advertencia sobre la actividad de actores de amenazas que emplean el malware Androxgh0st. Estos actores están formando una botnet orientada a la obtención de credenciales en la nube y la posterior distribución de cargas maliciosas. Esta botnet fue inicialmente detectada por Lacework Labs en 2022 y tenía el control de más de 40,000 dispositivos hace casi un año, según datos de una fuente de seguridad.

Estos actores buscan sitios web y servidores que sean vulnerables a varias vulnerabilidades de ejecución remota de código (RCE) específicas, como CVE-2017-9841 (relacionada con PHPUnit), CVE-2021-41773 (relacionada con Apache HTTP Server) y CVE-2018-15133 (relacionada con Laravel PHP framework).

 

Te podrá interesar leer:  Comprendiendo los Ataques de Remote Code Execution (RCE)



El malware Androxgh0st, escrito en Python, se utiliza principalmente para atacar archivos .env que almacenan información confidencial, como credenciales de aplicaciones de alto perfil como Amazon Web Services (AWS), Microsoft Office 365 en el contexto del marco de aplicación Laravel.

El malware Androxgh0st también tiene capacidades para abusar del Protocolo Simple de Transferencia de Correo (SMTP), incluyendo la exploración y explotación de credenciales expuestas y las interfaces de programación de aplicaciones (API), así como la implementación de shell web.

Los actores de amenazas pueden aprovechar las credenciales robadas para llevar a cabo campañas de spam en nombre de las empresas afectadas. Además, el malware AndroxGh0st puede ser utilizado para verificar los límites de envío de correo electrónico de las cuentas comprometidas con el fin de evaluar si pueden ser utilizadas para enviar correo no deseado.

También se ha observado que los atacantes crean páginas falsas en sitios web comprometidos, lo que les proporciona una puerta trasera para acceder a bases de datos con información confidencial y para implementar más herramientas maliciosas en sus operaciones. Después de obtener credenciales de AWS en un sitio web vulnerable, intentan crear nuevos usuarios y políticas de usuario. Además, los operadores de Androxgh0st utilizan las credenciales robadas para crear nuevas instancias de AWS con el fin de escanear otros objetivos vulnerables en Internet.

 

Te podrá interesar leer:  NoaBot: Nueva botnet mirai para minería SSH

 

Medidas de Prevención Contra Androxgh0st

 

Las autoridades de seguridad están aconsejando a los defensores de redes que implementen las siguientes medidas de mitigación para reducir el impacto de los ataques del malware Androxgh0st y disminuir el riesgo de compromiso:

  1. Mantén actualizados todos tus sistemas operativos, software y firmware. En particular, asegúrate de que tus servidores Apache no estén utilizando las versiones 2.4.49 o 2.4.50.
  2. Verifica que la configuración predeterminada de todos tus URL esté configurada para denegar todas las solicitudes a menos que tengas una necesidad específica de que sean accesibles.
  3. Asegúrate de que tus aplicaciones activas de Laravel no estén configuradas en modo de "depuración" o prueba. Elimina todas las credenciales de la nube de tus archivos .env y revócalas.
  4. Realiza una revisión única de las credenciales de la nube que estaban almacenadas previamente y una revisión continua de otros tipos de credenciales que no puedas eliminar. Verifica cualquier plataforma o servicio que tenga credenciales listadas en el archivo .env para detectar acceso o uso no autorizado.
  5. Realiza un escaneo del sistema de archivos de tu servidor en busca de archivos PHP no reconocidos, especialmente en el directorio raíz o en la carpeta /vendor/phpunit/phpunit/src/Util/PHP.
  6. Supervisa las solicitudes GET salientes (a través del comando cURL) hacia sitios de alojamiento de archivos como GitHub, Pastebin, etc., especialmente cuando la solicitud acceda a un archivo .php.

 

Conoce más sobre:  ¿Qué es un SOC como Servicio?

 

Además, se está recopilando información sobre el malware Androxgh0st por parte de organizaciones que detectan actividades sospechosas o delictivas relacionadas con esta amenaza. También se ha agregado la vulnerabilidad de deserialización de Laravel CVE-2018-15133 al Catálogo de vulnerabilidades explotadas conocidas por CISA, basándose en evidencia de explotación activa. La agencia de ciberseguridad de EE. UU. ha emitido una orden para que las agencias federales protejan sus sistemas contra estos ataques antes del 6 de febrero.

Las vulnerabilidades de recorrido de ruta del servidor HTTP Apache CVE-2021-41773 y la inyección de comandos PHPUnit CVE-2017-9841 fueron agregadas al catálogo en noviembre de 2021 y febrero de 2022, respectivamente.

 

Podría interesarte leer:  Costo de Inacción en Ciberseguridad

 

Conclusión

 

La amenaza de Androxgh0st es un recordatorio serio de la importancia de la ciberseguridad en nuestro mundo conectado. Tanto individuos como empresas deben tomar medidas proactivas para proteger sus datos y sistemas. La educación, la implementación de buenas prácticas de seguridad y la colaboración con entidades como el FBI son clave para mantenerse un paso adelante de los ciberdelincuentes.

 
Ver post completo