innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

「AndroxGh0st」がLaravelアプリからクラウド認証情報を盗む: サイバーセキュリティ警鐘

「AndroxGh0st」がLaravelアプリからクラウド認証情報を盗む: サイバーセキュリティ警鐘 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-02 08:37 by admin

サイバーセキュリティ研究者たちは、Laravelアプリケーションを対象とし、クラウド認証情報を盗むために使用される「AndroxGh0st」と呼ばれるツールについて明らかにした。このマルウェアは、.envファイルをスキャンして重要な情報を抽出し、AWSやTwilioに関連するログイン詳細を明らかにする。SMTPクラッカーとして分類され、認証情報の悪用、ウェブシェルの展開、脆弱性スキャンなど様々な戦略を利用してSMTPを悪用する。

AndroxGh0stは2022年以降、野生で検出され、Laravel環境ファイルにアクセスし、Amazon Web Services (AWS)、SendGrid、Twilioなどのさまざまなクラウドベースのアプリケーションの認証情報を盗むために利用されている。Pythonマルウェアを含む攻撃チェーンは、Apache HTTPサーバー、Laravelフレームワーク、PHPUnitの既知のセキュリティ欠陥を悪用して初期アクセスを得るため、権限昇格と永続性を確保する。

今年1月、米国のサイバーセキュリティおよび情報機関は、攻撃者が「ターゲットネットワーク内での被害者識別と悪用」のためにAndroxGh0stマルウェアを使用してボットネットを作成することを警告した。Androxgh0stは、CVE-2021-41773として識別されたApacheの弱点を通じて最初に入り、その後、CVE-2017-9841およびCVE-2018-15133の追加の脆弱性を悪用してコードを実行し、永続的な制御を確立し、対象システムを乗っ取る。

Androxgh0stは、.envファイル、データベース、クラウド認証情報など、さまざまなソースから機密データを抽出するように設計されている。これにより、脅威アクターは侵害されたシステムに追加のペイロードを配信できる。Juniper Threat Labsは、CVE-2017-9841の悪用に関連する活動の増加を観察し、ユーザーが最新バージョンに迅速に更新することが重要であると述べた。攻撃試行の大半は、米国、英国、中国、オランダ、ドイツ、ブルガリア、クウェート、ロシア、エストニア、インドからのものであった。

また、AhnLab Security Intelligence Center (ASEC)は、韓国にある脆弱なWebLogicサーバーが敵対者によって標的とされ、z0Minerという暗号通貨マイナーやfast reverse proxy (FRP)などのツールを配布するためのダウンロードサーバーとして使用されていることを明らかにした。これは、AWSインスタンスに侵入し、数分以内に6,000以上のEC2インスタンスを作成し、Meson Networkと呼ばれる分散型コンテンツ配信ネットワークに関連するバイナリを展開する悪意のあるキャンペーンの発見に続くものである。

【ニュース解説】

Laravelアプリケーションを狙う新たなマルウェア「AndroxGh0st」が、クラウド認証情報を盗むために使用されていることがサイバーセキュリティ研究者によって明らかにされました。このマルウェアは、特に.envファイルから重要な情報を抽出し、Amazon Web Services (AWS)やTwilioなどのログイン情報を盗み出すことができます。SMTPクラッカーとして分類されるAndroxGh0stは、認証情報の悪用、ウェブシェルの展開、脆弱性スキャンなど、多岐にわたる戦略を駆使しています。

このマルウェアは2022年以降に野生で検出され、Laravel環境ファイルへのアクセスや、AWS、SendGrid、Twilioなどのクラウドベースアプリケーションの認証情報の盗難に利用されています。攻撃チェーンには、Apache HTTPサーバー、Laravelフレームワーク、PHPUnitの既知のセキュリティ欠陥を悪用することで初期アクセスを得る手法が含まれており、これにより権限昇格と永続性が確保されます。

特に注目すべきは、AndroxGh0stがCVE-2021-41773として識別されるApacheの弱点を利用して最初に侵入し、その後、CVE-2017-9841およびCVE-2018-15133の追加の脆弱性を悪用してコードを実行し、対象システムの永続的な制御を確立する点です。これにより、.envファイル、データベース、クラウド認証情報などから機密データを抽出し、侵害されたシステムに追加のペイロードを配信することが可能になります。

このような攻撃の増加は、クラウド環境が脅威アクターにとってますます魅力的なターゲットになっていることを示しています。そのため、ソフトウェアを最新の状態に保ち、不審な活動を監視することが重要です。また、このニュースは、クラウドサービスのセキュリティ対策の重要性を再認識させるものであり、開発者やシステム管理者には、継続的な脆弱性管理とセキュリティアップデートの適用が求められます。

ポジティブな側面としては、このような脅威の発見と公表により、セキュリティコミュニティが共同で対策を講じ、より強固な防御策を構築する機会が生まれます。一方で、潜在的なリスクとしては、このマルウェアが広範囲にわたるクラウドサービスに影響を及ぼし、企業や個人の機密情報が漏洩する可能性があります。規制に与える影響としては、このような攻撃の増加が、クラウドサービスプロバイダーに対するセキュリティ基準の強化や、より厳格なコンプライアンス要件の導入を促す可能性があります。

将来への影響としては、セキュリティ対策の進化とともに、攻撃手法も進化するため、継続的な警戒と対策の更新が必要になります。長期的な視点では、クラウド技術の普及とそのセキュリティ対策の強化が、より安全なデジタル社会の実現に寄与することが期待されます。

from AndroxGh0st Malware Targets Laravel Apps to Steal Cloud Credentials.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 「AndroxGh0st」がLaravelアプリからクラウド認証情報を盗む: サイバーセキュリティ警鐘

“「AndroxGh0st」がLaravelアプリからクラウド認証情報を盗む: サイバーセキュリティ警鐘” への1件のコメント

  1. 高橋 真一のアバター
    高橋 真一

    このAndroxGh0stマルウェアの発見は、今日のデジタル化された世界におけるセキュリティの脆弱性と、攻撃者がどのようにして最新技術を利用しているかを浮き彫りにしています。特に、クラウドベースのサービスが攻撃の主要な対象となっていることは、企業や個人がクラウド技術を利用する際のリスク管理の重要性を示しています。

    Laravelアプリケーションをターゲットにしたこの攻撃は、開発者やシステム管理者にとって、セキュリティを最前線の考慮事項として位置づけることの重要性を再認識させます。特に、.envファイルやクラウド認証情報など、重要な情報の保護が必要です。さらに、Apache HTTPサーバーやPHPUnitなどのコンポーネントに存在する既知のセキュリティ欠陥を悪用されることから、ソフトウェアとシステムの定期的な更新とパッチ適用の実施が不可欠であることがわかります。

    このマルウェアの検出と公表は、セキュリティコミュニティにとって価値ある情報であり、攻撃によって損害を受ける前に対処策を講じるための警鐘となります。しかし、攻撃者は常に新しい手法を開発しているため、セキュリティ専門家、開発者、シ

Latest News