針對有使用Laravel Web 應用程式框架的Apache Web 伺服器和網站,美國FBI 和CISA發布惡意軟體攻擊警報,攻擊手法是利用已知漏洞執行。攻擊目標是竊取 Amazon Web Services、Microsoft 365、Twilio 和 SendGrid 等知名應用程式的憑證,以便威脅參與者可以存取應用程式中的敏感資料或使用這些應用程式進行其他惡意操作。
FBI及CISA表示,當威脅行為者成功取得 AWS 憑證時,他們會嘗試建立新用戶帳號和用戶規則。在許多案例中,攻擊者還使用竊取的憑證建立新的 AWS 帳戶,進行額外的惡意掃描活動。
這個攻擊行動被稱為「Androxgh0st」,Lacework公司於 2022 年 12 月首次發出警告。該惡意軟體以Python 編寫,目的在掃描並提取應用程式機密,例如Laravel .env 檔案的憑證和API 金鑰。
Laravel是一個開源 PHP Web 應用程式框架,許多開發人員使用它來執行常見的 Web 開發任務,而無需從頭開始編寫低階程式碼。
Laravel .env 檔案是常見的攻擊目標,因為它們通常包含攻擊者可用來存取和濫用高價值應用程式(例如 AWS、Microsoft 365 和 Twilo)的憑證和其他資訊。
Lacework 發現該惡意軟體能夠掃描和利用暴露的憑證和 API,並且能夠在受感染的系統上部署 Web shell。
這並不是針對惡意程式碼的第一次大規模攻擊活動。去年 3 月,Fortinet 報告稱,觀察到威脅行為者每天平均使用 Androxgh0st 攻擊 40,000 台 Fortinet 設備上的 Laravel .env 檔案。
主動掃描易受攻擊的網站
根據 FBI 和 CISA 表示,Androxgh0st 威脅參與者還在積極掃描存在特定漏洞的網站,特別是 CVE-2017-9841,這是中的一個關鍵遠端程式碼執行(RCE)漏洞。PHPUnit用於測試PHP 程式碼的模組。
他們利用該漏洞在受影響的網站上投放 Androxgh0st 和其他惡意軟體,並使它們成為殭屍網路的一部分,用於掃描和收集其他潛在目標的資訊。CVE-2017-9841 是自 2017 年以來一個廣泛針對的漏洞,Imperva 等供應商報告稱,至少到 2020 年初,受影響的系統遭受了數百萬次攻擊。
在許多情況下,Androxgh0st也被發現掃描執行 Apache HTTP Server 版本 2.4.49 或 2.4.50 的 Web 伺服器,這些伺服器容易受到CVE-2021-41773 的攻擊,這是一個2021 年出現的允許RCE 的路徑遍歷漏洞。CISA 先前曾警告稱,CVE-2021-41773 是中國支持的威脅行為者在其活動中最常利用的漏洞之一。
FBI 和 CISA 解釋威脅行為者使用殭屍網路掃描Laravel Web 應用程式網站,然後識別網域的根 .env 檔案是否暴露。如果 .env 文件被暴露,威脅行為者將向 /.env URI 發出 GET 請求,以嘗試訪問頁面上的數據。或者,Androxgh0st 可能會使用名為
0x[] 的 POST 變數向同一 URI 發出 POST 請求。請求中包含發送到 Web 伺服器的某些資料。
任一方法成功回應,威脅參與者就能夠在 .env 檔案中找到機密,包括 AWS、電郵帳號和其他企業應用程式的使用者名稱和密碼。
為了防範此類威脅和類似威脅,CISA 建議採用以下最佳實務:
- 優先修補網路公開的系統中已知的被利用漏洞;
- 審查並確保僅必要的伺服器和服務暴露於網路;
- 並檢查 .env 文件中列出的憑證是否有未經授權的存取或使用的平台或服務。
本文轉載自Dark Reading。