Androxgh0st Malware: Everything You Need to Know

Androxgh0st est un logiciel malveillant basé sur un script Python qui cible les applications qui utilisent Laravel (comme AWS, Twilio, Office 365, et SendGrid) en scannant et en extrayant des informations de .env. des dossiers. Cette forme de logiciel malveillant peut extraire des informations confidentielles telles que les données de connexion et peut pirater le protocole SMTP (Simple Mail Transfer Protocol) afin d'exploiter les API et le développement de shells web.

Demander une démo Sécurité des postes Guide de l'acheteur

Comment fonctionne Androxgh0st

Androxgh0st cible principalement l'application Laravel, qui est un framework PHP de premier plan utilisé dans de nombreuses applications Web. En analysant les fichiers .env Androxgh0st peut identifier et extraire des informations sensibles de ces fichiers, notamment les données de connexion à des plateformes telles qu'Amazon Web Services.

Androxgh0st fonctionne en plusieurs phases :

  • Première étape, l'analyse du réseau de zombies : À l'aide d'un réseau de zombies, Androxgh0st recherche tous les sites Web qui utilisent activement le cadre Laravel. En identifiant les sites dotés de ce cadre Web application, ils peuvent ensuite dresser une liste de sites Web potentiels à cibler.
  • Deuxième étape, analyse .env : Sur chacun des sites Web identifiés, Androxgh0st analysera le niveau racine du domaine, à la recherche de tout fichier .env exposé. qui contiennent encore des données sensibles ou des identifiants de connexion.
  • Troisième étape, l'accès : Les acteurs de la menace envoient une requête GET ou POST pour rechercher les mots de passe, les noms d'utilisateur ou les clés de connexion liés au site web. Les requêtes POST et GET entrantes sont l'un des principaux indicateurs de menace que Androxgh0st est en cours.

Dès qu'un acteur de la menace dispose d'informations d'identification sur cloud, il accède au système d'exploitation et l'exploite pour créer d'autres problèmes pour l'entreprise. Androxgh0st permet également aux pirates de télécharger plus de logiciels malveillants sur un site. En téléchargeant des fichiers malveillants par l'intermédiaire d'Androxgh0st, les acteurs de la menace peuvent créer d'autres pages illégitimes sur le site, ce qui leur permet d'accéder au site web par une porte dérobée.

Une connexion directe par porte dérobée permet alors à l'acteur malveillant de contrôler davantage le site web et d'accéder sans autorisation aux bases de données connectées.

Impact de l'Androxgh0st

Androxgh0st permet aux acteurs de la menace d'accéder à distance aux sites web et aux systèmes d'entreprise. Une fois qu'ils ont obtenu l'accès, ils peuvent télécharger d'autres logiciels malveillants sur le système. Les pirates pourraient compromettre toutes les données sensibles de votre système avec Androxgh0st.

En outre, Androxgh0st peut commencer à analyser votre système à la recherche d'autres vulnérabilités. Plus ils ont de temps à l'intérieur de votre système, plus cette analyse de vulnérabilité sera étendue, ce qui fait qu'une réponse rapide est essentielle pour se défendre contre cette forme de logiciel malveillant.

Un autre impact majeur d'Androxgh0st est la possibilité pour les acteurs de la menace de créer de nouvelles instances sur des services comme AWS. L'une des activités les plus lucratives de ces acteurs consistera à utiliser les instances informatiques du site AWS cloud comme source d'approvisionnement pour le minage de crypto-monnaies. Sans avoir à payer pour leurs propres ressources, ils peuvent développer leurs opérations malveillantes sans encourir de coûts.

Un système compromis par Androxgh0st peut également servir de base d'opérations pour d'autres attaques de cybersécurité. L'utilisation des ressources réseau d'un serveur AWS, par exemple, pourrait contribuer à lancer des attaques DDoS et déclencher d'autres violations de données.

En raison de la gravité de l'impact d'Androxgh0st, la CISA a ajouté cette faille de sécurité à sa liste des vulnérabilités exploitées connues et invite les entreprises à prendre des mesures pour atténuer la menace.

6 bonnes pratiques pour atténuer le logiciel malveillant Androxgh0st

Voici quelques bonnes pratiques qui vous aideront à vous protéger contre la menace du logiciel malveillant Androxgh0st :

  1. Passez en revue les fichiers .env : Veillez à passer en revue vos services et plateformes qui reposent sur Laravel, en vérifiant si vous avez des données sensibles stockées dans des fichiers .env. des dossiers. Dans la mesure du possible, supprimez-la pour réduire la menace que représente Androxgh0st.
  2. Restructurez l'architecture critique : Une autre mesure efficace pour vous protéger de la menace Androxgh0st consiste à passer en revue vos services actifs actuels pour vérifier ceux qui sont connectés à l'internet. Supprimez l'accès à l'internet pour tous les systèmes qui n'en ont pas expressément besoin.
  3. Mettez à jour les frameworks Laravel : Des mises à jour régulières du logiciel permettront de corriger les vulnérabilités connues que les fournisseurs ont identifiées dans leurs plateformes. Lorsque vous mettez à jour un logiciel dès qu'il est disponible, vous vous assurez que votre entreprise est protégée contre toute vulnérabilité dont les versions précédentes auraient pu souffrir. La mise à jour des logiciels permet également à votre entreprise de s'aligner sur les multiples réglementations de Conformité.
  4. Surveillez les indicateurs de menace : Effectuez régulièrement des analyses et des examens de vos systèmes afin de détecter les indicateurs de menace. Plusieurs indicateurs de menace étroitement liés à Androxgh0st ou à toute autre attaque de logiciel malveillant pourraient alerter votre équipe de cybersécurité de la présence d'un attaquant. La détection précoce est l'une des stratégies les plus efficaces que vous puissiez employer pour réduire la gravité d'une violation ou d'une attaque.
  5. Appliquer les politiques de contrôle d'accès : Les attaques Androxgh0st sont très efficaces lorsqu'une entreprise ne dispose pas de politiques de contrôle d'accès et de systèmes d'authentification suffisants. Si un acteur de la menace est en mesure de localiser les identifiants de connexion, l'absence de contrôles d'accès et de voies d'authentification garantira son succès dans l'infiltration de vos systèmes. Des politiques de contrôle d'accès supplémentaires limiteront leur accès et vous donneront un temps précieux pour mettre en place une défense plus complète.
  6. Utilisez la sécurité des postes : Les systèmes de sécurité des postes constituent l'un des moyens de défense les plus efficaces que votre entreprise puisse mettre en place contre les menaces du logiciel malveillant. Au lieu de réduire l'impact du logiciel malveillant déjà présent dans votre système, Sécurité des postes identifie les indicateurs de menace du logiciel malveillant et l'empêche de s'installer sur votre système. Il s'agit d'une forme complète d' analyse et de défense du logiciel malveillant qui peut vous protéger contre de nombreux vecteurs de menace.

Protection Androxgh0st avec Check Point

Androxgh0st représente un risque important pour tous les frameworks Laravel et les sites web qui les utilisent dans leurs systèmes. Une fois réussie, une attaque Androxgh0st logiciel malveillant peut compromettre l'ensemble d'un système, ce qui fait de la protection contre cette forme de logiciel malveillant une priorité absolue pour les entreprises.

Androxgh0st est une menace importante, l'indice mondial des menaces de Check Point pour mai 2024 identifiant un impact mondial total de 5 % des entreprises touchées par cette forme de logiciel malveillant. Pour plus d'informations, consultez le rapport complet de Check Point sur le mois de mai 2024.

Check Point Harmony offre une solution complète de sécurité des postes, atténuant dynamiquement plusieurs menaces importantes grâce à des systèmes autonomes de détection et de réponse. Pour en savoir plus sur Harmony et sur la façon dont il peut protéger votre entreprise, demandez une démonstration gratuite dès aujourd'hui.

Commencez

Pare-feu de nouvelle génération

Zero Trust Security

Prévention avancée des menaces réseau

Guide de l’acheteur

Sujets connexes

Logiciels malveillants

Types de logiciels malveillants

Crypto logiciel malveillant

Mobile logiciel malveillant

LokiBot

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK