Bisnis.com, JAKARTA – Sindikat peretas yang menggunakan malware bernama Androxgh0st sedang menjadi sorotan Federal Bureau of Investigation (FBI) dan Certified Information Systems Auditor (CISA). Target malware itu adalah Amazon Web Service (AWS), Microsoft, dkk.
Mengutip BleepingComputer.com, peretas yang menggunakan malware Androxgh0st sedang membangun botnet pencuri data rahasia di komputasi awan, lalu menggunakan informasi yang dicuri untuk mengirimkan ancaman tambahan.
Botnet ini pertama kali ditemukan oleh Lacework Labs pada 2022, dan mampu mengendalikan lebih dari 40.000 perangkat hampir sepanjang tahun lalu.
Beberapa situs dan server yang rentan terhadap remote code execution (RCE) dapat dipindai oleh botnet Androxgh0st. Meliputi, CVE-2017-9841 (PHPUnit unit testing framework), CVE-2021-41773 (Apache HTTP Server), dan CVE-2018-15133 (Laravel PHP web framework).
“Androxgh0st adalah malware dengan skrip Python yang menargetkan file .env berisi informasi rahasia berbagai aplikasi profil tinggi,” tulis FBI dan CISA dalam keterangan resmi yang dikutip, Rabu (17/1/2024).
Aplikasi profil tinggi yang dimaksud di antaranya Amazon Web Services (AWS), Microsoft Office 365, SendGrid, dan Twilio dari kerangka aplikasi web Laravel.
Malware Androxgh0st juga mendukung berbagai fungsi yang mampu menyalahgunakan Simple Mail Transfer Protocol (SMTP), seperti memindai dan mengeksploitasi kredensial terbuka dan application programming interfaces (API’s), serta penerapan shell web.
FBI dan CISA menyarankan penerapan langkah-langkah mitigasi untuk membatasi dampak serangan malware Androxgh0st dan mengurangi risiko penyusupan.
Pertama, memperbarui semua sistem operasi, perangkat lunak, dan firmware secara rutin. Secara khusus, pastikan server Apache tidak menjalankan versi 2.4.49 atau 2.4.50.
Kedua, verifikasi konfigurasi default untuk semua URI agar menolak semua permintaan, kecuali ada kebutuhan khusus untuk diakses.
Ketiga, pastikan aplikasi Laravel yang aktif tidak berada dalam mode "debug" atau pengujian. Hapus semua kredensial cloud dari file .env.
Keempat, pindai sistem file server untuk mencari file PHP yang tidak dikenal, khususnya di direktori root atau folder /vendor/phpunit/phpunit/src/Util/PHP.
Kelima, tinjau permintaan GET keluar (melalui perintah cURL) ke situs hosting file seperti GitHub, pastebin, dll., terutama ketika permintaan mengakses file .php.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
