CISA und FBI: Große Bedrohung durch Malware Androxgh0st

Die Sicherheitsmeldung der CISA und des FBI schildert unter anderem Taktik, Technik und Verfahren (TTP) der Malware. AndroxGh0st zielt auf Dateien mit sensiblen Informationen ab, z. B. Anmeldeinformationen für namhafte Dienste wie Amazon Web Services (AWS), Microsoft Office365, SendGrid und Twilio.

Außerdem schildern die CISA und das FBI, dass Akteurinnen und Akteure mit Hilfe der Malware ein Bot-Netz aufgebaut haben und erweitern. Ein Bot-Netz ist ein Netzwerk aus infizierten Geräten, das in diesem Fall erstmals von Lacework Labs entdeckt wurde. Laut Fortiguard Labs betraf das Androxgh0st-Bot-Netz bereits im Jahr 2022 weltweit über 40.000 Geräte. Kriminelle stehlen über dieses Netz Cloud-Anmeldeinformationen und verwenden diese, um zusätzliche Malware zu verbreiten. Weiter suchen sie darüber Websites und Server, die folgende Schwachstellen für Remote-Code-Ausführung (RCE) aufweisen:

• CVE-2017-9841 in PHP in den Versionen kleiner 4.8.28 und 5.x vor Version 5.6.3
• CVE-2021-41773 im Apache-HTTP-Server in der Version 2.4.49
• CVE-2018-15133 in der Anwendung Laravel, einem Framework zum Erstellen von auf PHP basierenden Webanwendungen

Features von Androxgh0st

Je nach Verwendungsweise kann Androxgh0st eine von zwei Hauptfunktionen ausführen. Die am häufigsten beobachtete Funktion ist die Prüfung des E-Mail-Versandlimits für E-Mail-Konten. Damit stellen Akteurinnen und Akteure fest, ob sie Konten für Spamming missbrauchen können. Die andere Hauptfunktion ist die Ausnutzung der AWS-Verwaltungskonsole. Diese wird über die folgenden automatisierten Teilaufgaben durchgeführt:

• CreateUser versucht, einen Anwender mit kompromittierten Anmeldedaten zu erstellen. Dabei ist der Benutzername fest in der Malware einprogrammiert.
• CreateLoginProfile erstellt ein Anmeldeprofil für den neuen Anwender, um auf die Verwaltungskonsole zuzugreifen. Das Passwort ist auch im Programm fest eingeschrieben.
• AttachUserPolicy versucht, dem neuen Anwender Administrator-Rechte zuzuweisen.
• arn:aws:iam::aws:policy/AdministratorAccess: Wenn die vorherigen Schritte erfolgreich waren, schreibt Androxgh0st die Anmeldedaten zur späteren Verwendung in eine Konfigurationsdatei.
• DeleteAccessKey löscht den ursprünglich kompromittierten Schlüssel, wenn der Zugriff auf die Verwaltungskonsole erreicht ist.

Hintergrund zu Androxgh0st

Androxgh0st basiert auf der Programmiersprache Python. Wie beschrieben, können Akteurinnen und Akteure die Malware verwenden, um ein Bot-Netz zu erstellen. Über dieses Bot-Netz können sie Schwachstellen in Netzwerken identifizieren und ausnutzen. 

Weiter kann Androxgh0st auf .env-Dateien zugreifen, die vertrauliche Informationen wie Anmeldeinformationen enthalten. Zudem unterstützt die Malware zahlreiche Funktionen, über die Dritte das Simple Mail Transfer Protocol (SMTP) missbrauchen können. Hierdurch können sie Scans durchführen, Anmeldeinformationen einsehen, Anwendungsprogrammierschnittstellen (API) ausnutzen und Web-Shells für RCE bereitstellen.

Androxgh0st ist eine ernste Bedrohung für Cloud-Dienste wie AWS oder Microsoft Office365. Die mächtigen Funktionen zum Erspähen und Stehlen von sensiblen Informationen wie Anmeldedaten gefährden unter anderem alle Accounts dieser Dienste. Kriminelle können die gestohlenen Anmeldeinformationen verwenden, um Spam-Kampagnen durchzuführen oder Malware über kompromittierte Konten zu verbreiten.

Des Weiteren wächst das auf Androxgh0st basierende Bot-Netz stetig. Daher sind immer mehr Geräte von der Schwachstellen-Ausnutzung über die Malware und damit zusammenhängender RCE bedroht.

Um sich gegen Androxgh0st zu wappnen und das Risiko einer Kompromittierung zu minimieren, beachten Sie folgende Empfehlungen:

• Verwenden Sie die von der CISA und dem FBI zur Verfügung gestellten Mitigationsmaßnahmen und Indicators of Compromise (IoC).
• Verwenden Sie keine Apache-Server in den Versionen 2.4.49 oder 2.4.50. Prüfen Sie, ob neuere Apache-Server-Versionen verfügbar sind, und installieren Sie diese umgehend.
• Stellen Sie die Standardkonfiguration für alle Uniform Resource Identifier (URI) so ein, dass alle Anfragen abgelehnt werden, außer der Zugriff ist zwingend erforderlich.
• Stellen Sie sicher, dass sich keine aktiven Laravel-Anwendungen im Debug- oder Testmodus befinden.
• Entfernen oder widerrufen Sie alle Cloud-Anmeldeinformationen aus .env-Dateien.
• Lassen Sie Dateisysteme von verwendeten Servern auf nicht erkannte PHP-Dateien prüfen, insbesondere im Stammverzeichnis und in Ordnern namens /vendor/phpunit/phpunit/src/Util/PHP.
• Prüfen Sie ausgehende GET-Anfragen über cURL-Befehl an GitHub, pastebin und andere Filehosting-Sites, insbesondere wenn die Anfrage auf eine .php-Datei zugreift.
• Prüfen Sie regelmäßig, ob Updates zu verwendeten Betriebssystemen, Software und Firmware vorliegen. Installieren Sie diese Updates schnellstmöglich.
• Prüfen Sie regelmäßig, ob die Hersteller verwendeter Software-Produkte spezielle Patches gegen Androxgh0st bereitstellen. Installieren Sie diese Patches umgehend.
• Richten Sie automatische Updates für verwendete Betriebssysteme, Software und Firmware ein, wenn möglich.
• Installieren Sie nur Software von namhaften Entwicklern und aus vertrauenswürdigen Quellen.
• Aktivieren Sie ein Virenschutzprogramm.
  • Prüfen Sie regelmäßig, ob der Hersteller Updates bereitstellt, auch gegen Androxgh0st.
  • Richten Sie automatische Updates für den Virenscanner ein oder installieren Sie verfügbare Updates schnellstmöglich.
• Verwenden Sie Multi-Faktor-Authentifizierung (MFA).