Androxgh0st Malware: Everything You Need to Know

Androxgh0st è un malware di script basato su Python che si rivolge alle applicazioni che utilizzano Laravel (come AWS, Twilio, Office 365e SendGrid) scansionando ed estraendo informazioni da .env file. Questa forma di malware può estrarre informazioni riservate come i dettagli di accesso e può violare il Simple Mail Transfer Protocol (SMTP) per sfruttare le API e lo sviluppo di web shell.

Richiedi una Demo Endpoint Security Guida all'acquisto

Come funziona Androxgh0st

Androxgh0st si rivolge principalmente all'applicazione Laravel, che è un framework PHP leader utilizzato in molte applicazioni web. Scansionando .env file, Androxgh0st è in grado di identificare ed estrarre informazioni sensibili da questi file, in particolare i dettagli di accesso per piattaforme come Amazon Web Services.

Androxgh0st funziona in più fasi:

  • Fase uno, scansione della botnet: Utilizzando una botnet, Androxgh0st eseguirà la scansione di tutti i siti web che utilizzano attivamente il framework Laravel. Identificando i siti con questa applicazione web framework, possono quindi creare un elenco di potenziali siti Web a cui rivolgersi.
  • Fase due, scansione .env: Su ciascuno dei siti web identificati, Androxgh0st eseguirà la scansione del livello principale del dominio, alla ricerca di eventuali .env esposti file che includono ancora dati sensibili o credenziali di accesso.
  • Passaggio tre, accesso: Gli attori delle minacce inviano una richiesta GET o POST per poi esaminare password, nomi utente o chiavi di accesso collegate al sito web. Le richieste POST e GET in arrivo sono uno dei principali indicatori di minaccia che Androxgh0st è in corso.

Non appena un attore delle minacce dispone di credenziali cloud, accede al sistema operativo e le sfrutta per creare ulteriori problemi all'azienda. Androxgh0st consente inoltre agli hacker di scaricare più malware su un sito. Scaricando file dannosi tramite Androxgh0st, gli attori delle minacce possono creare ulteriori pagine illegittime sul sito, il che consente loro di accedere backdoor al sito Web.

Una connessione backdoor diretta fornisce quindi all'attore malintenzionato un ulteriore controllo sul sito Web e l'accesso non autorizzato ai database connessi.

Impatto di Androxgh0st

Androxgh0st fornisce un percorso per gli attori delle minacce per ottenere l'accesso remoto ai siti Web e ai sistemi aziendali. Una volta ottenuto l'accesso, possono scaricare altro malware sul sistema. Gli hacker potrebbero compromettere tutti i dati sensibili sul tuo sistema con Androxgh0st.

Inoltre, Androxgh0st può iniziare a scansionare il tuo sistema alla ricerca di altre vulnerabilità. Più tempo hanno all'interno del tuo sistema, più estesa sarà questa scansione delle vulnerabilità, rendendo una risposta tempestiva fondamentale per difendersi da questa forma di malware.

Un altro importante impatto di Androxgh0st è la capacità degli attori delle minacce di creare nuove istanze su servizi come AWS. Una delle attività più redditizie che questi attori seguiranno è quella di utilizzare le istanze di cloud computing di AWS come flusso di forniture per il mining di criptovalute. Senza la necessità di pagare per le proprie risorse, possono scalare le operazioni dannose senza incorrere in costi.

Un sistema che è stato compromesso tramite Androxgh0st potrebbe anche fungere da base operativa per altri attacchi alla sicurezza informatica. L'utilizzo delle risorse di rete di un server AWS, ad esempio, potrebbe aiutare a lanciare attacchi DDoS e innescare ulteriori violazioni dei dati.

A causa della grave portata degli impatti di Androxgh0st, la CISA ha aggiunto il difetto di sicurezza al suo elenco di vulnerabilità sfruttate note e sollecita le aziende ad adottare misure per mitigare la minaccia.

6 migliori pratiche per mitigare il malware Androxgh0st

Ecco alcune best practice che aiutano a proteggersi dalla minaccia malware Androxgh0st:

  1. Rivedi i file .env: Assicurati di esaminare i tuoi servizi e le piattaforme che si basano su Laravel, verificando se hai dati sensibili archiviati in .env file. Ove possibile, rimuovilo per ridurre la minaccia rappresentata da Androxgh0st.
  2. Ristrutturare l'architettura critica: Un'altra misura efficace per proteggersi dalla minaccia Androxgh0st è quella di rivedere i servizi attualmente attivi per verificare quali sono connessi a Internet. Rimuovi l'accesso a Internet per tutti i sistemi che non richiedono espressamente l'accesso a Internet.
  3. Aggiorna i framework Laravel: Aggiornamenti software regolari aiuteranno a correggere eventuali vulnerabilità note che i fornitori hanno identificato nelle loro piattaforme. Quando aggiorni il software non appena diventa disponibile, ti assicuri che la tua azienda sia protetta da eventuali vulnerabilità di cui potrebbero aver sofferto le versioni precedenti. L'aggiornamento del software aiuta anche la tua azienda ad allinearsi a più normative di conformità.
  4. Monitorare gli indicatori di minaccia: Esegui scansioni e revisioni regolari dei tuoi sistemi per cercare indicatori di minaccia. Diversi indicatori di minaccia strettamente legati ad Androxgh0st o a qualsiasi altro attacco malware potrebbero avvisare il tuo team di sicurezza informatica della presenza di un aggressore. Il rilevamento precoce è una delle strategie più efficaci che puoi utilizzare per ridurre la gravità di una violazione o di un attacco.
  5. Applicare i criteri di controllo degli accessi: Gli attacchi Androxgh0st hanno molto successo quando un'azienda non dispone di sufficienti politiche di controllo degli accessi e sistemi di autenticazione. Se un attore delle minacce è in grado di individuare le credenziali di accesso, la mancanza di controlli di accesso e percorsi di autenticazione garantirà il successo nell'infiltrarsi nei sistemi. Ulteriori policy di controllo degli accessi ne limiteranno l'accesso e vi daranno tempo prezioso per organizzare una difesa più completa.
  6. Utilizza Endpoint Security: I sistemi di sicurezza degli endpoint sono alcune delle difese più efficaci che la tua azienda può mettere in atto contro le minacce malware . Invece di ridurre l'impatto dei malware già presenti nel sistema, Endpoint Security identificherà malware indicatori di minaccia e ne impedirà l'installazione sul sistema. Si tratta di una forma completa di analisi e difesa dal malware che può proteggerti da numerosi vettori di minacce.

Protezione Androxgh0st con Check Point

Androxgh0st rappresenta un rischio significativo per tutti i framework e i siti Web Laravel che li utilizzano nei loro sistemi. Una volta riuscito, un attacco malware Androxgh0st può compromettere un intero sistema, rendendo la protezione contro questa forma di malware una priorità assoluta per le aziende.

Androxgh0st è una minaccia importante, con il Global Threat Index di Check Point per maggio 2024 che identifica un impatto globale totale del 5% delle aziende colpite da questa forma di malware. Per ulteriori informazioni, consulta il rapporto completo di maggio 2024 di Check Point.

Check Point Harmony offre un'ampia soluzione di sicurezza degli endpoint, mitigando dinamicamente diverse minacce importanti con sistemi di rilevamento e risposta autonomi. Per saperne di più su Harmony e su come può proteggere la tua azienda, richiedi una demo gratuita oggi stesso.

Per iniziare

Firewall di Nuova Generazione

Zero Trust Security

Prevenzione Avanzata dalle Minacce di Rete

GUIDA DELL’ACQUIRENTE

Argomenti correlati

Malware

Tipi di malware

Crittografia malware

Malware mobile

LokiBot

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK