Εκστρατεία κακόβουλου λογισμικού στις ΗΠΑ

Της Ελένης Μιχαηλίδου

Το FBI και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσαν προειδοποίηση σχετικά με μια εκστρατεία κακόβουλου λογισμικού που στοχεύει διακομιστές ιστού Apache και ιστότοπους χρησιμοποιώντας το δημοφιλές πλαίσιο εφαρμογών Laravel Web, αξιοποιώντας γνωστές ευπάθειες προκειμένου να αποκτήσουν πρόσβαση.

Ο τελικός στόχος τής εκστρατείας είναι να κλέψει διαπιστευτήρια σε εφαρμογές υψηλού προφίλ, όπως το Amazon Web Services, το Microsoft 365, το Twilio και το SendGrid, ώστε οι παράγοντες απειλής να μπορούν να έχουν πρόσβαση σε ευαίσθητα δεδομένα στις εφαρμογές ή να χρησιμοποιούν τις εφαρμογές για άλλες κακόβουλες λειτουργίες.

«Για παράδειγμα, όταν οι φορείς απειλής εντοπίσουν με επιτυχία και θέσουν σε κίνδυνο τα διαπιστευτήρια AWS από έναν ευάλωτο ιστότοπο, έχουν παρατηρηθεί ότι προσπαθούν να δημιουργήσουν νέους χρήστες και πολιτικές χρηστών», ανέφεραν οι δύο οργανισμοί.

Η καμπάνια περιλαμβάνει μια γνωστή απειλή κακόβουλου λογισμικού που ονομάζεται Androxgh0st για την οποία προειδοποίησε για πρώτη φορά η Lacework τον Δεκέμβριο του 2022. Το κακόβουλο λογισμικό, γραμμένο σε Python, έχει σχεδιαστεί για να σαρώνει και να εξάγει στοιχεία πρόσβασης, όπως διαπιστευτήρια και κλειδιά API από αρχεία Laravel.env.

Για την προστασία από αυτήν και παρόμοιες απειλές, η CISA συνέστησε τις ακόλουθες βέλτιστες πρακτικές:

• Δώστε προτεραιότητα στην επιδιόρθωση γνωστών ευπαθειών.

• Ελέγξτε και βεβαιωθείτε ότι μόνο οι απαραίτητοι διακομιστές και υπηρεσίες εκτίθενται στο διαδίκτυο.

• Ελέγξτε πλατφόρμες ή υπηρεσίες που έχουν διαπιστευτήρια που αναφέρονται σε αρχεία .env για μη εξουσιοδοτημένη πρόσβαση ή χρήση.

Τεύχος 431