Androxgh0stは、Pythonベースのスクリプト化されたマルウェアで、Laravelを使用するアプリケーション(AWS、Twilio、Office 365、SendGridなど)を標的とし、.envから情報をスキャンして抽出します ファイル。 この形式のマルウェアは、ログインの詳細などの機密情報を抽出し、Simple Mail Transfer Protocol(SMTP)を解読してAPIやWebシェル開発を悪用できます。
Androxgh0stは、多くのWebアプリケーションで使用されている主要なPHPフレームワークであるLaravelアプリケーションを主に対象としています。 .env をスキャンする ファイル、Androxgh0stは、これらのファイルから機密情報を識別して抽出することができます。最も切実なのは、Amazon Web Servicesのようなプラットフォームのログイン詳細です。
Androxgh0st はいくつかのフェーズで動作します。
脅威アクターは、クラウドの認証情報を取得するとすぐに、オペレーティングシステムにアクセスし、それを活用してビジネスにさらなる問題を引き起こします。 Androxgh0stは、ハッカーがより多くの マルウェア をサイトにダウンロードするのも許可します。 Androxgh0stを介して悪意のあるファイルをダウンロードすることにより、脅威アクターはサイト上にさらに不正なページを作成し、Webサイトへのバックドアアクセスを可能にすることができます。
その後、直接のバックドア接続により、悪意のある攻撃者はWebサイトをさらに制御し、接続されたデータベースに不正アクセスすることができます。
Androxgh0stは、脅威アクターがWebサイトやビジネスシステムにリモートアクセスするための経路を提供します。 アクセスを取得すると、さらにマルウェアをシステムにダウンロードできます。 ハッカーは、Androxgh0stを使用してシステム上の機密データを侵害する可能性があります。
さらに、Androxgh0stは、他の脆弱性がないかシステムのスキャンを開始できます。 システム内に侵入する時間が長ければ長いほど、この脆弱性スキャンはより広範囲に及ぶため、この形式のマルウェアから身を守るためには、タイムリーな対応が重要になります。
Androxgh0stのもう一つの大きな影響は、脅威アクターがAWSのようなサービス上で新しいインスタンスを作成できることです。 これらのアクターが従う最も収益性の高い追求の1つは、 AWS クラウドコンピューティングインスタンスを暗号通貨マイニングの供給ストリームとして使用することです。 自社のリソースにお金を払う必要がないため、コストをかけずに悪意のある操作を拡張できます。
Androxgh0stによって侵害されたシステムは、他のサイバーセキュリティ攻撃の運用拠点としても機能する可能性があります。 たとえば、AWSサーバーのネットワークリソースを使用すると、 DDoS攻撃 を開始し、さらなるデータ侵害を引き起こす可能性があります。
Androxgh0stの影響が深刻な範囲にあるため、CISAは既知の 悪用された脆弱性 のリストにセキュリティの欠陥を追加し、脅威を軽減するための措置を講じるよう企業に促しています。
Androxgh0st マルウェアの脅威から保護するのに役立つベスト プラクティスを次に示します。
Androxgh0stは、Laravelフレームワークとそれらをシステムで利用するWebサイトに重大なリスクをもたらします。 Androxgh0stマルウェア攻撃が成功すると、システム全体が危険にさらされる可能性があるため、この形式のマルウェアからの保護は企業にとって最優先事項になります。
Androxgh0stは顕著な脅威であり、チェック・ポイントの2024年5月のグローバル脅威インデックスでは、この形式のマルウェアの影響を受ける企業の全世界で合計5%の影響が特定されています。 詳細については、チェック・ポイントの 2024年5月レポート全文をご覧ください。
チェック・ポイント Harmony は、広範なエンドポイント セキュリティ ソリューションを提供し、自律的な検出および対応システムを使用して、いくつかの顕著な脅威を動的に軽減します。 Harmonyの詳細と、それがビジネスをどのように保護できるかについては、 今すぐ無料デモをリクエストしてください。
フィードバック