تحذير: هجمات على تطبيقات Laravel لسرقة بيانات السحابة
تم اكتشاف AndroxGh0st في البرية منذ عام 2022 على الأقل، حيث استفادت الجهات الفاعلة في مجال التهديد منه للوصول إلى ملفات بيئة Laravel وسرقة بيانات الاعتماد لمختلف التطبيقات المستندة إلى السحابة مثل Amazon Web Services (AWS) وSendGrid وTwilio.
متابعه مكسي نيوز
سلط باحثو الأمن السيبراني الضوء على أداة يشار إليها باسم أندروكسGh0st يُستخدم لاستهداف تطبيقات Laravel وسرقة البيانات الحساسة.
“إنه يعمل عن طريق مسح المعلومات المهمة وإخراجها من ملفات .env، والكشف عن تفاصيل تسجيل الدخول المرتبطة بـ AWS وTwilio،” كاشيناث تي باتان، الباحث في Juniper Threat Labs قال.
“تم تصنيفه على أنه برنامج اختراق SMTP، فهو يستغل SMTP باستخدام استراتيجيات مختلفة مثل استغلال بيانات الاعتماد، ونشر غلاف الويب، وفحص الثغرات الأمنية.”
تم اكتشاف AndroxGh0st في البرية منذ عام 2022 على الأقل، حيث استفادت الجهات الفاعلة في مجال التهديد منه للوصول إلى ملفات بيئة Laravel وسرقة بيانات الاعتماد لمختلف التطبيقات المستندة إلى السحابة مثل Amazon Web Services (AWS) وSendGrid وTwilio.
من المعروف أن سلاسل الهجوم التي تتضمن برامج Python الضارة تستغل العيوب الأمنية المعروفة في Apache HTTP Server، وLaravel Framework، وPHPUnit للحصول على وصول أولي ولتصعيد الامتيازات واستمراريتها.
وفي وقت سابق من شهر يناير/كانون الثاني الماضي، حذرت وكالات الأمن السيبراني والمخابرات الأمريكية من مهاجمين ينشرون البرمجيات الخبيثة AndroxGh0st لإنشاء شبكة الروبوتات “للتعرف على الضحايا واستغلالهم في الشبكات المستهدفة”.
وأوضح باتان أن “Androxgh0st تمكن أولاً من الدخول من خلال نقطة ضعف في Apache، تم تحديدها باسم CVE-2021-41773، مما يسمح له بالوصول إلى الأنظمة الضعيفة”.
“بعد ذلك، فإنه يستغل نقاط الضعف الإضافية، وتحديدًا CVE-2017-9841 وCVE-2018-15133، لتنفيذ التعليمات البرمجية وإنشاء تحكم مستمر، والاستيلاء بشكل أساسي على الأنظمة المستهدفة.”
تم تصميم Androxgh0st لتصفية البيانات الحساسة من مصادر مختلفة، بما في ذلك ملفات .env وقواعد البيانات وبيانات الاعتماد السحابية. وهذا يسمح للجهات الفاعلة في مجال التهديد بتقديم حمولات إضافية إلى الأنظمة المخترقة.
قالت Juniper Threat Labs إنها لاحظت زيادة طفيفة في النشاط المتعلق باستغلال CVE-2017-9841، مما يجعل من الضروري أن يتحرك المستخدمون بسرعة لتحديث مثيلاتهم إلى الإصدار الأحدث.
وأضافت أن غالبية محاولات الهجوم التي استهدفت بنيتها التحتية جاءت من الولايات المتحدة والمملكة المتحدة والصين وهولندا وألمانيا وبلغاريا والكويت وروسيا وإستونيا والهند.
ويأتي هذا التطوير كمركز AhnLab للاستخبارات الأمنية (ASEC) مكشوف أن خوادم WebLogic الضعيفة الموجودة في كوريا الجنوبية يتم استهدافها من قبل الخصوم واستخدامها كخوادم تنزيل لتوزيع عامل تعدين العملة المشفرة المسمى z0Miner وأدوات أخرى مثل الوكيل العكسي السريع (FRP).
ويأتي ذلك أيضًا بعد اكتشاف حملة ضارة تتسلل إلى مثيلات AWS لإنشاء أكثر من 6000 مثيل EC2 في غضون دقائق ونشر ثنائي مرتبط بشبكة توصيل المحتوى اللامركزية (CDN) المعروفة باسم شبكة ميسون.
تعمل الشركة التي يقع مقرها في سنغافورة، والتي تهدف إلى إنشاء “أكبر سوق للنطاق الترددي في العالم”، من خلال السماح للمستخدمين بتبادل النطاق الترددي الخامل وموارد التخزين مع Meson مقابل الرموز المميزة (أي المكافآت).
“وهذا يعني أن القائمين بالتعدين سيحصلون على رموز Meson كمكافأة لتوفير الخوادم لمنصة Meson Network، وسيتم احتساب المكافأة بناءً على مقدار النطاق الترددي والتخزين الموجود في الشبكة،” Sysdig قال في تقرير فني صدر هذا الشهر.
“لم يعد الأمر يتعلق بتعدين العملات المشفرة بعد الآن. تريد خدمات مثل شبكة Meson الاستفادة من مساحة القرص الصلب وعرض النطاق الترددي للشبكة بدلاً من وحدة المعالجة المركزية. على الرغم من أن Meson قد تكون خدمة مشروعة، إلا أن هذا يوضح أن المهاجمين يبحثون دائمًا عن طرق جديدة لإنشاء مال.”
مع تحول البيئات السحابية بشكل متزايد إلى هدف مربح للجهات الفاعلة في مجال التهديد، فمن الأهمية بمكان الحفاظ على تحديث البرامج ومراقبة الأنشطة المشبوهة.
كما قامت شركة استخبارات التهديدات Permiso بذلك أيضًا مطلق سراحه أداة تسمى CloudGrappler، وهذا مبني على رأس أسس com.cloudgrep ويفحص AWS وAzure بحثًا عن الأحداث الضارة المتعلقة بجهات التهديد المعروفة.
