FBI示警!惡意軟體Androxgh0st暗中蠢動 提醒企業防範

記者/劉閔

美國聯邦調查局(FBI)以及網路安全暨基礎設施安全局(CISA)近日發出警告,一項名為 Androxgh0st 的惡意軟體已經暗中蠢動,並策劃建立殭屍網路來掃描系統弱點,進而在入侵電腦後進行遠端程式碼執行攻擊,竊取客戶資訊。對此,FBI 與 CISA 也提出建議,並協助企業可以緩解面臨這波惡意軟體的威脅。

FBI 和 CISA 發出警告,惡意軟體 Androxgh0st 可藉由攻擊 Laravel 框架以及伺服器漏洞,執行遠端攻擊並竊取敏感資料。(圖片翻攝自 bleepingcomputer)

惡意軟體針對漏洞 部署惡意程式

根據外媒報導,惡意軟體 Androxgh0st 主要是針對在 Laravel 網頁應用程式框架的 .env 檔案中所儲存的敏感資料,尤其是 AWS、Microsoft Office 365、SendGrid 以及 Twilio 等知名應用程式的憑證。除此之外,Androxgh0st 還具有「多功能性」,可以藉由濫用 SMTP 來執行像是掃描和利用暴露的憑證以及 API、透過部署 Web Shell 惡意程式等操作。

更多新聞:75%組織曾遭遇勒索軟體攻擊  資安技術必須多樣化及全方位

執行遠端程式碼攻擊 竊取敏感資訊

不僅如此,Androxgh0st 還能存取 Laravel 網站的應用金鑰。據了解,只要成功辨識出金鑰後攻擊者就可利用加密 PHP 程式碼,將加密程式碼作為跨站請求偽造(XSRF)令牌 Cookie 傳遞,執行遠端程式碼攻擊,而這種方法也讓攻擊者可透過遠端存取,並將檔案上傳至網站。目前得知這個攻擊手法只對 2.4.49 與 2.4.50 兩版本的 Apache HTTP 伺服器有效。

有鑑於此,FBI 以及 CISA 除了對企業發出警告外也提出幾點建議,包括要求更新作業系統、軟體和硬體,並且確保所有 URI 預設配置為「拒絕所有請求」、以及所有 Laravel 應用避免處於除錯或是測試模式;其次,還需定期檢查 .env 檔案中的平台和服務憑證。最後,也要掃描伺服器檔案系統,尋找陌生不認識的 PHP 檔案。

瀏覽 498 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button