Impervaはこのほど、「Imperva Uncovers New IoCs for AndroxGh0st Botnet|Imperva」において、米国連邦調査局(FBI: Federal Bureau of Investigation)および米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が、脆弱なアプリケーションとWebサーバを標的とするマルウェア「AndroxGh0st」についてサイバーセキュリティアドバイザリー(CSA: Cybersecurity Advisory)を公開したとして、注意を喚起した(参考:「CISA and FBI Release Known IOCs Associated with Androxgh0st Malware | CISA」)。

Imperva Uncovers New IoCs for AndroxGh0st Botnet|Imperva

○マルウェア「AndroxGh0st」の実態

公開されたアドバイザリーによると、AndroxGh0stは脆弱なネットワーク上で被害者の特定と悪用のためにボットネットを構築し、Amazon Web Services (AWS)やMicrosoft Office 365など人気の高いアプリケーションの認証情報を窃取するという。このマルウェアはPythonで記述されており、次の脆弱性を抱えているWebサイトをスキャンして攻撃する。

CVE-2017-9841 - PHPUnitおよびUtil/PHP/eval-stdin.phpを使用してリモートから任意のPHPコードを実行できる脆弱性

CVE-2018-15133 - Laravel Frameworkのリモートコード実行(RCE: Remote Code Execution)の脆弱性

CVE-2021-41773 - Apache HTTP Serverのパストラバーサルの脆弱性。特定の条件下でリモートからコードを実行される可能性がある

Imperva Threat Researchは2023年後半以降、アドバイザリーにて明らかにされたAndroxGh0stに関連する脅威アクターの活動を監視し、CVE-2017-9841が広範囲に悪用されていることを確認したという。また、脅威アクターがアドバイザリーでは指摘されていないDrupal Coreの脆弱性「CVE-2019-6340」を悪用していることも検出している。いずれの場合も脅威アクターは侵害したWebサーバ上にWebシェルを含む追加のペイロードを展開する。

この他、Imperva Threat Researchは脅威アクターがWSO2の脆弱性「CVE-2022-29464」を悪用してWebシェルを展開したことを観察している。このとき、脅威アクターはこのWebシェルを使用してマイニングマルウェア「XMRig」の展開を試みたという。これらのことからAndroxGh0stを使用する脅威アクターは、広範囲の既知の脆弱性を悪用し、対策の不十分なWebサーバーから機密情報の窃取や経済的利益を得ることを目的として活動しているものとみられる。

○緩和策

CISAはアドバイザリーの中でこの脅威に対抗するために、次の緩和策を提示している。

すべてのOS、ソフトウェア、ファームウェアを最新の状態に保つ。特にApache Webサーバのバージョンが2.4.49および2.4.50でないことを確認する

すべてのURIのデフォルト設定が「拒否」となっていることを確認する

Laravelアプリケーションがデバッグモードおよびテストモードになっていないことを確認する。また、「.env」ファイルからすべてのクラウド認証情報を削除する

削除できない認証情報について、継続的に不正アクセスがないか確認する

Webサーバのファイルシステム、特にルートディレクトリに知らないPHPファイルがないことを確認する

curlコマンドなどを使用したファイルホスティングサイト(GitHub、pastebinなど)へのHTTP GETリクエスト(特に.phpファイル)を検証する

また可能であれば、アドバイザリーのMITRE ATT&CK for Enterpriseフレームワークにマッピングされている脅威の動作に対してセキュリティプログラムを実行・テスト・検証することが推奨されている。これまでの調査で、この脅威アクターは既知の脆弱性を利用することが確認されているため、すべてのソフトウェアを最新の状態に保つことが強く推奨されており、Webサイトの管理者には確認と対策が望まれている。