Imperva、AWSやMS Office 365の認証情報を窃取するマルウェア「AndroxGh0st」について注意喚起

2024年2月21日(水)

Impervaは、米国連邦調査局(FBI)および米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)が、脆弱性を抱えたアプリケーションとWebサーバを標的とするマルウェア「AndroxGh0st」について、注意喚起を発表した。

「AndroxGh0st」はPythonで実装されており、脆弱なネットワーク上で被害者の特定と悪用のためにボットネットを構築し、Amazon Web Services (AWS)やMicrosoft Office 365などのアプリケーションの認証情報を窃取する活動を行う。

「AndroxGh0st」が標的とするのは、「CVE-2017-9841(PHPUnitおよびUtil/PHP/eval-stdin.phpに存在する脆弱性)」、「CVE-2018-15133(Laravel Frameworkに存在する脆弱性)」「CVE-2021-41773(Apache HTTP Serverに存在する脆弱性)」。

「AndroxGh0st」に対応するための緩和策は次の通り。

〇OS、ソフトウェア、ファームウェアを最新の状態に保つ。特に「Apache Web Server」のバージョンが2.4.49/2.4.50でないことを確認する
〇すべてのURIのデフォルト設定が「拒否」となっていることを確認する
〇Laravelアプリケーションがデバッグモードおよびテストモードになっていないことを確認する。
〇Laravelにおいて「.env」ファイルからクラウド認証情報を削除する
〇削除できない認証情報に注視し、不正アクセスがないかを継続的に確認する
〇Webサーバのファイルシステムに覚えのないPHPファイルがないことを確認する
〇curlコマンドなどを使用した、GitHubやpastebinなどのホスティングサイトへのHTTP GETリクエスト(特に.php)を検証する

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

※本ニュース記事はびぎねっとITニュースから提供を受けて配信しています。
転載元はこちらをご覧ください。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る