FBI 和 CISA 发布的新安全警报警告说,一个新的僵尸网络通过利用三个已知漏洞来针对 Microsoft 和 Amazon Web Services 帐户。
FBI 已向互联网用户发出关于新僵尸网络的警告,该僵尸网络由 Androxgh0st 恶意软件驱动。后者扫描计算机和服务器以搜索漏洞 CVE-2017-9841、CVE-2021-41773 和 CVE-2018-15133,允许在易受攻击的系统上远程执行代码。
攻击者使用 Androxgh0st 窃取包含敏感信息的 .env 文件,例如 Microsoft 和 AWS 帐户登录凭据。然后,这些凭据可用于访问受害者拥有的云资源和数据库。
另请阅读–这种危险的恶意软件在宣布结束后仅 3 个月就卷土重来
Androxgh0st 还可以使用简单邮件协议 (SMTP) 来检查受感染设备上电子邮件帐户的发送限制。如果限制足够高,恶意软件可以发起网络钓鱼和垃圾邮件活动来传播或让更多用户提供他们的凭据。
此外,攻击者还可以使用 Microsoft 和 AWS 凭证在受感染服务器上托管的网站上创建虚假页面。这些假页面可以作为后门来访问其他数据或用 Androxgh0st 感染其他访问者。
FBI 和 CISA 敦促各组织立即采取行动,保护自己免受该僵尸网络的侵害。他们建议更新所有设备的操作系统、软件和固件并确保 Apache 服务器不使用容易受到 CVE-2021-41773 影响的版本 2.4.49 或 2.4.50。
他们还建议组织将其 URI 配置为默认拒绝所有请求,除非有特定需要允许它们。此外,他们建议 Laravel 应用程序不应处于调试或测试模式,并且云凭据不应存储在 .env 文件中。
正如 FBI 和 CISA 警告的那样,我们迫切需要保护自己CVE-2018-15133 漏洞被僵尸网络积极利用。该漏洞允许攻击者通过向应用程序发送特制请求来执行任意代码。