Исследователи кибербезопасности из Центра интернет-штормов SANS обнаружили AndroxGh0st, вредоносное ПО с Python-скриптами, нацеленное на файлы .env в веб-приложениях Laravel. Это вредоносное ПО является частью ботнета для кражи учетных данных, который использует различные функции, включая сканирование уязвимостей, простой протокол передачи почты (SMTP), API и развертывание веб-оболочки.
Ключевые уязвимости, эксплуатируемые AndroxGh0st, включают CVE-2017-9841, уязвимость удаленного выполнения кода (RCE) в PHPUnit, CVE-2018-15133, RCE десериализации ключей приложений Laravel, и CVE-2021-41773, уязвимость обхода каталога и RCE в HTTP-сервере Apache. В ходе наблюдаемых атак AndroxGh0st сканирует открытые файлы .env и отправляет вредоносные HTTP POST-запросы для использования этих уязвимостей. В случае успеха вредоносная программа загружает дополнительные вредоносные файлы, создает поддельные веб-страницы для постоянного доступа и осуществляет утечку конфиденциальных данных.
Indicators of Compromise
SHA256
- 0df17ad20bf796ed549c240856ac2bf9ceb19f21a8cae2dbd7d99369ecd317ef
- 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066
- 3b04f3ae4796d77e5a458fe702612228b773bbdefbb64f20d52c574790b5c81a
- 6b5846f32d8009e6b54743d6f817f0c3519be6f370a0917bf455d3d114820bbc
- bb7070cbede294963328119d1145546c2e26709c5cea1d876d234b991682c0b7
- ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72
- f6f240dc2d32bfd83b49025382dc0a1cf86dba587018de4cd96df16197f05d88
