CISA와 FBI는 오늘 Androxgh0st 악성 소프트웨어를 사용하는 위협 요소들이 클라우드 자격 증명 도용에 중점을 두고 봇넷을 구축하고 있으며, 도난당한 정보를 사용하여 추가적인 악성 페이로드를 전달하고 있다고 경고했습니다. 이 봇넷은 PHPUnit 단위 테스트 프레임워크, PHP 웹 프레임워크, 그리고 원격 코드 실행(RCE) 취약점이 있는 Apache 웹 서버를 사용하는 웹사이트와 서버를 스캔합니다. 공격 대상인 RCE 결함에는 CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server), 그리고 CVE-2018-15133 (Laravel)이 포함됩니다.
Androxgh0st는 주로 .env 파일을 대상으로 하며, 이 파일들은 Amazon Web Services (AWS), Microsoft Office 365, SendGrid, 그리고 Laravel 웹 애플리케이션 프레임워크에서의 Twilio와 같은 다양한 고급 애플리케이션에 대한 자격 증명과 같은 기밀 정보를 포함하고 있습니다. 또한, 이 악성 소프트웨어는 Simple Mail Transfer Protocol (SMTP)을 악용할 수 있는 다양한 기능을 지원하며, 이에는 노출된 자격 증명과 애플리케이션 프로그래밍 인터페이스 (API), 그리고 웹 쉘 배포를 스캔하고 악용하는 것이 포함됩니다.
FBI와 CISA는 Androxgh0st 악성 소프트웨어 공격의 영향을 제한하고 침해 위험을 줄이기 위해 다음과 같은 완화 조치를 구현하도록 네트워크 방어자들에게 조언합니다: 모든 운영 체제, 소프트웨어, 펌웨어를 최신 상태로 유지하고, 모든 URI의 기본 구성이 모든 요청을 거부하도록 확인하며, 실시간 Laravel 애플리케이션들이 "디버그" 또는 테스트 모드에 있지 않도록 확인해야 합니다.
요약
- CISA와 FBI는 Androxgh0st 악성 소프트웨어를 사용하는 위협 요소들이 클라우드 자격 증명 도용에 중점을 두고 봇넷을 구축하고 있다고 경고했다.
- 이 봇넷은 원격 코드 실행(RCE) 취약점이 있는 웹사이트와 서버를 스캔하며, 공격 대상인 RCE 결함에는 PHPUnit, Apache HTTP Server, 그리고 Laravel이 포함된다.
- FBI와 CISA는 모든 운영 체제, 소프트웨어, 펌웨어를 최신 상태로 유지하고, 모든 URI의 기본 구성이 모든 요청을 거부하도록 확인하며, 실시간 Laravel 애플리케이션들이 "디버그" 또는 테스트 모드에 있지 않도록 확인하는 등의 완화 조치를 구현하도록 네트워크 방어자들에게 조언한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.