FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告

2024年1月16日に、アメリカのFBIとサイバーセキュリティー・インフラセキュリティー庁(CISA)が、「AndroxGh0st」と呼ばれるマルウェアを用いた、AmazonやMicrosoftのクラウドに対する攻撃について警告する共同声明を発表しました。
Known Indicators of Compromise Associated with Androxgh0st Malware | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials
https://www.bleepingcomputer.com/news/security/fbi-androxgh0st-malware-botnet-steals-aws-microsoft-credentials/
CISA: AWS, Microsoft 365 Accounts Under Active 'Androxgh0st' Attack
https://www.darkreading.com/cloud-security/cisa-aws-microsoft-365-accounts-androxgh0st-attack
AndroxGh0stは、クラウドセキュリティを専門とするサイバー企業・Laceworkが2022年12月に最初にその存在を公表したマルウェアで、PHPフレームワーク・Laravelの環境ファイル(.envファイル)にアクセスしてAmazon Web Services(AWS)やMicrosoft Office 365、SendGrid、Twilioなど知名度の高いアプリケーションの認証情報を盗み出す機能を持っています。
また、公開された認証情報やAPIのスキャンや乗っ取り、不正アクセス用ツールであるWebシェルの展開など、SMTPの悪用を可能とするさまざまな機能もサポートしていると、CISAは説明しています。

当局によると、AndroxGh0stを使用する攻撃者が侵害されたウェブサイト上に偽ページを作成し、機密情報を含むデータベースに侵入したり悪意あるツールを仕込んだりするためのバックドアを作った事例が確認されているとのこと。
また、AWSの認証情報を盗み出して新しいユーザーやユーザーポリシーの作成を試みたり、盗んだ認証情報を使って新しいAWSインスタンスを起動させ、次のターゲットを物色した様子も見られました。
AndroxGh0stの危険性はこれまでにも警告されており、セキュリティ企業・FortiGuard Labsは2023年3月に「1日に4万台を超えるデバイスがAndroxgh0stを使用した.envファイルへの攻撃を受けたのを観測しています」と発表しています。

FBIとCISAは、AndroxGh0stによる攻撃の影響を低減させる上で重要な以下の緩和策の適用を推奨しました。
・すべてのOS、ソフトウェア、ファームウェアを最新の状態に保つ。特にApacheサーバーのバージョンが2.4.49または2.4.50でないことを確認する。
・すべてのURIのデフォルト設定が、必要のない限りすべてのリクエストを拒否するようになっていることを確認する。
・ライブのLaravelアプリケーションがデバッグまたはテストモードでないことを確認する。また、.envファイルからすべてのクラウド認証情報を削除し、それらを失効させる。
・以前保存されたクラウド認証情報については1回限り、その他の削除できないタイプの認証情報については継続的に、.envファイルに認証情報がリストされているプラ​​ットフォームまたはサービスをレビューして、不正なアクセスまたは使用履歴がないか確認する。
・サーバーのファイルシステムをスキャンし特にルートディレクトリや/vendor/phpunit/src/Util/PHPのフォルダの中に認識できないPHPファイルがないか確認する。
・GitHubやpastebinなどのファイルホスティングサイトに対する、cURLコマンドでのGETリクエスト、特に.phpファイルへのアクセスを確認する。