Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một công cụ được gọi là AndroxGh0st được sử dụng để nhắm mục tiêu các ứng dụng Laravel và đánh cắp dữ liệu nhạy cảm.
"Nó hoạt động bằng cách quét và lấy thông tin quan trọng từ các tệp .env, tiết lộ chi tiết đăng nhập được liên kết với AWS và Twilio", nhà nghiên cứu Kashinath T Pattan của Juniper Threat Labs cho biết.
"Được phân loại là một trình bẻ khóa SMTP, nó khai thác SMTP bằng nhiều chiến lược khác nhau như khai thác thông tin xác thực, triển khai web shell và quét lỗ hổng."
AndroxGh0st đã được phát hiện trong tự nhiên ít nhất là từ năm 2022, với các tác nhân đe dọa tận dụng nó để truy cập các tệp môi trường Laravel và đánh cắp thông tin đăng nhập cho các ứng dụng dựa trên đám mây khác nhau như Amazon Web Services (AWS), SendGrid và Twilio.
Các chuỗi tấn công liên quan đến phần mềm độc hại Python được biết là khai thác các lỗ hổng bảo mật đã biết trong Apache HTTP Server, Laravel Framework và PHPUnit để có quyền truy cập ban đầu và leo thang đặc quyền và tính bền bỉ.
"Androxgh0st lần đầu tiên xâm nhập thông qua một điểm yếu ở Apache, được xác định là CVE-2021-41773, cho phép nó truy cập vào các hệ thống dễ bị tổn thương", Pattan giải thích.
Phần lớn các nỗ lực tấn công nhắm vào cơ sở hạ tầng honeypot của họ có nguồn gốc từ Mỹ, Anh, Trung Quốc, Hà Lan, Đức, Bulgaria, Kuwait, Nga, Estonia và Ấn Độ.
Sự phát triển này diễn ra khi Trung tâm Tình báo Bảo mật AhnLab (ASEC) tiết lộ rằng các máy chủ WebLogic dễ bị tấn công đặt tại Hàn Quốc đang bị kẻ thù nhắm mục tiêu và sử dụng chúng làm máy chủ tải xuống để phân phối một công cụ khai thác tiền điện tử có tên z0Miner và các công cụ khác như proxy đảo ngược nhanh (FRP).
Nó cũng theo sau việc phát hiện ra một chiến dịch độc hại xâm nhập vào các phiên bản AWS để tạo hơn 6.000 phiên bản EC2 trong vòng vài phút và triển khai một tệp nhị phân được liên kết với mạng phân phối nội dung phi tập trung (CDN) được gọi là Meson Network.
Với môi trường đám mây ngày càng trở thành mục tiêu sinh lợi cho các tác nhân đe dọa, điều quan trọng là phải cập nhật phần mềm và giám sát hoạt động đáng ngờ.
Công ty tình báo mối đe dọa Permiso cũng đã phát hành một công cụ có tên CloudGrappler, được xây dựng trên nền tảng của cloudgrep và quét AWS và Azure để gắn cờ các sự kiện độc hại liên quan đến các tác nhân đe dọa nổi tiếng.