-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
「Analyst’s Choice」では、弊社インテリジェンスアナリストが先月報じられたニュースの中から注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。
今月の1つ目のトピックは「AWS、Azure、Office 365の認証情報を狙うAndroxGh0stボットネットについて、米当局が注意喚起」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。
AWS、Azure、Office 365の認証情報を狙うAndroxGh0stボットネットについて、米当局が注意喚起
- 米CISAおよびFBIは、脅威アクターらがマルウェアAndroxGh0stを展開し、標的ネットワーク内で被害者を特定・悪用するためのボットネットを作成していることについて注意喚起しました。
- AndroxGh0stはPythonベースのマルウェアで、既知のセキュリティ欠陥に脆弱なサーバーを侵害してLaravelの環境ファイルへアクセスし、Amazon Web Services(AWS)やMicrosoft Office 365、SendGrid、Twilioといった有名なアプリケーションの認証情報を盗み出す性能を備えています。
- このマルウェアはSMTPの悪用を可能にするための機能を複数有しており、これにはスキャンの実施、公開された認証情報やAPIの悪用、さらにはWebシェルの展開までもが含まれます。AWSに関していうと、AndroxGh0stはスキャンによりAWSキーを探し出してこれをパースするほか、ブルートフォース攻撃用にキーを生成する能力をも備えています。
情報源:
https://thehackernews.com/2024/01/feds-warn-of-androxgh0st-botnet.html
https://www.fortiguard.com/threat-signal-report/5066/androxgh0st-malware-actively-used-in-the-wild
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
アナリストのコメント
影響範囲
AndroxGh0stマルウェアが主に標的とするのは、既知のセキュリティ欠陥に対して脆弱なサーバーです。特に、WebアプリケーションフレームワークLaravel内の、機密性の高い情報を含んだ「.env」ファイルが狙われます。なお、ここでの機密性の高い情報とは例えば、Amazon Web Services(AWS)やMicrosoft Office 365、SendGrid、Twilioといった有名なアプリケーションの認証情報などです。したがって、こうしたサービスやフレームワークを使用するあらゆる組織・個人が、攻撃を受ける潜在的リスクを有していると言えます。
緩和戦略
AndroxGh0stマルウェアのもたらす脅威を緩和するため、組織には以下のような対策を実施することが推奨されています。
- すべてのOS、ソフトウェア、ファームウェアを最新状態に保つ。特に、Apacheサーバーを脆弱なバージョン(2.4.49または2.4.5012)のままにしておかない。
- すべてのURIに関するデフォルト設定が、(アクセス可能にしておくことが必要な場合を除いて)すべてのリクエストを拒否するものになっていることを確認する。
- ライブのLaravelアプリケーションが「デバッグ」またはテストモードになっていることがないようにする。
- インターネットに接続されたシステムにおける、悪用が既に確認されている脆弱性へのパッチ適用を優先的に行う。
- インターネットに公開されているのが必要なサーバーやサービスのみであるかどうかをレビューし、意図せぬ公開があれば是正する。
- 「.env」ファイル内に認証情報が含まれているプラットフォームやサービスをレビューし、不正アクセスや不正利用の痕跡がないかを確認する。
- 以上の対策により、AndroxGh0stへの感染が引き起こすサイバーセキュリティインシデントの発生確率や影響を抑えることができる。
AndroxGh0stに関するIoCのリストは、「情報源」に記載したCISAのWebサイトへのリンクからご覧いただけます。
見解
AndroxGh0stボットネットは、PHPのテスティングフレームワーク「PHPUnit」の脆弱性CVE-2017-9841を悪用しているのが観測されています。この脆弱性は、攻撃者によるWebサイト上でのリモートコード実行を可能にするものです。同ボットネットはまた、バージョン2.4.49または2.4.50のApacheサーバーに影響を与える脆弱性CVE-2021-41773も悪用します。さらに、Laravelアプリケーションのキーが公開されていてアクセス可能な状態である場合、攻撃者はこれを利用してPHPコードを暗号化しようとすることが考えられます。そしてこのコードはその後、XSRF-TOKEN変数の値としてWebサイトに引き渡されることになります。これは、WebアプリケーションフレームワークLaravelの複数バージョンにおける脆弱性CVE-2018-15133を悪用しようとする試みです。悪用が成功すれば、攻撃者は当該Webサイトへリモートでファイルをアップロードできるようになります。
Writer
Rory株式会社マキナレコード 脅威インテリジェンス・アナリスト
著者
兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。
